对MySQL有点新,但如果我使用HTML创建一个页面,我需要使用prepeard语句来防止SQL注入? 或者只有当我使用文本iput? 也许我使用文本输入并不重要,因为用户可以在使用浏览器检查工具来添加文件时编辑文件。试图理解SQL注入
如果我使用PHP而不是HTML来包含它更容易注入代码?
比方说,我使用Siteground设置了一个站点,我在哪里可以找到我需要编辑的文件来防止这种情况,PHP或MySQL?
或者我只需要担心这个,如果我写一些自定义的PHP/MySQL代码处理传入数据到数据库?
或者我问错了问题?
谢谢!
-A
SQL注入是由用户编写的恶意代码作为用户输入,然后将其发送到服务器的攻击类型。如果数据库服务器执行这样的代码,那么会发生不好的事情。
防止执行用户输入中提供的恶意SQL等效于转义查询的动态参数。这可以通过PDO或mysqli_real_escape_string完成。
因此,为了确保您无法进行SQL注入,只需检查所有执行直接MySQL命令的位置,并确保参数已被转义。
控制它的文件是否保存在与文件夹保存在同一层public_html还是必须使用phpMyAdmin访问它们? – user6044774
您应该搜索public_html –
的子文件夹等的所有子文件夹和子文件夹中的.php文件好吧,如果我没有添加将值发布到public_html或从数据库收集值的php文件,那么我不必担心SQL注入? – user6044774
[伟大的逃避现实(或:你需要知道如何处理文本中的文本)](http://kunststube.net/escapism/) – deceze