在我和我的朋友的网站是与登录文本框的形式。如果登录不存在,则会出现错误
"Error occurred. 151SQLSTATE[3D000]: Invalid catalog name: 1046 No database selected"
。
如果我输入无效的登录名+某些sql(例如"iu7' or '1=1'--"
),它不会显示任何数据,也不会显示任何错误。
该表格是否安全?是否有可能输入有效的登录名+ sql以将登录名切换为密码?你怎么看呢?有什么办法从本网站获取一些机密数据?
0
A
回答
2
在提交查询之前,您应始终使用mysql_real_escape_string($_POST['...'])
来跳过输入值。这样,你应该安全的任何字符串,他们把。英寸
我不认为这样的人会帮你注入其他网站,所以这就是我现在要说的。
2
这取决于您如何使用发布的数据构建SQL命令。如果您只是从值中构建一个字符串,那么您将面临SQL注入攻击的风险。
看看这篇文章:
http://php.net/manual/en/pdo.prepared-statements.php
它解释了如何构建在PHP中准备语句,这将防止SQL注入。
相关问题
- 1. 有没有什么办法从tendermint的blockchain获取数据API
- 2. 有什么办法从基于Flash的网站中提取文本?
- 3. 从网页获取一些数据
- 4. 有没有办法找出本地ip是什么网站?
- 5. 通过cURL从外部网站获取一些数据
- 6. 从android网站获取数据的最佳选择是什么?
- 7. 有没有什么办法可以在codeigniter的同一页上获取数据
- 8. 从需要密码的网站获取数据
- 9. 有没有办法从托管网站连接到本地SQL Server数据库?
- 10. 有没有办法从wayback机器恢复整个网站?
- 11. 为什么有些网站有Https?
- 12. [zabbix]为什么无法从zabbix代理机器获取数据?
- 13. 从外部网站获取JSON数据
- 14. 从XML网站获取数据
- 15. 从其他网站获取数据表
- 16. 如何从网站获取DOM数据
- 17. 从给定网站获取数据
- 18. Excel VBA - 从网站获取数据
- 19. 从其他网站获取数据
- 20. 从其他网站获取的数据
- 21. Python从安全网站获取数据
- 22. Android - 从网站获取数据
- 23. 如何从本网站刮取数据?
- 24. 有没有什么办法可以从没有任何网络的手机获取地理位置
- 25. 为什么我无法从这个网址获取数据?
- 26. 有没有什么办法解析网站内容的DOM树?
- 27. 从网站没有网址获取数据
- 28. xpath只从网站中提取一些数据
- 29. 有没有办法根据手机号码从手机获取WAN IP地址?
- 30. 从一个网站获取数据并将其显示在另一个网站