0
我需要使用get函数从url中检索$ title变量。
$title=$_GET["title"];
$ title稍后将用于MySQL查询。
问题是如何使这个安全吗? 换句话说,如何抵消通过URL发送的任何恶意代码。
A
回答
5
(对于“secure”的值等于“以防止它打破数据库”):使用任何使用bound parameters的数据库API。
绑定参数倾向于让数据库处理转义(因此使用由数据库作者而不是语言作者编写的转义例程),并使用不太容易被遗忘的语法,然后手动转义每条输入数据(例如)mysql_real_escape_string。
您可能需要在以后采取其他步骤,你在不同的上下文做对数据进行处理之前(例如,使其安全地插入到HTML文档)
0
您可以使用mysql_real_escape_string功能(转义特殊字符在SQL语句中使用的字符串)
1
必须使用mysql_real_escape_string(),以逃避可能与你的数据库干扰的所有字符。如果您显示此标题,您还应该使用htmlentities()或striptags()
0
使用查询参数。有许多不同的方法可以从PHP连接到mysql,并且它们使用参数的方式因框架而异。下面是使用PDO为例:
$dbh = new PDO('mysql:dbname=test;host=127.0.0.1', 'username', 'password');
$sth = $dbh->prepare("select * from table where title = :title")
$sth->execute(array(':title' => $_GET["title"]));
$rows = $sth->fetchAll();
var_dump($rows);
1
相关问题
- 1. 我如何使$ _GET更安全。
- 2. Better $ _GET安全
- 3. $ _GET php安全
- 4. 如何隐藏$ _GET变量以更安全地使用PHP?
- 5. 如何在file_exists中使用$ _GET路径并保持安全?
- 6. 使用PHP编码$ _GET []值以使它们更安全
- 7. 如何安全地使用file_get_contents?
- 8. 使用标题安全地重定向到$ _GET变量()
- 9. 可以使用原始的$ _GET来获取文件不安全?
- 10. 使用$ _GET路径显示图像安全吗?
- 11. $ _GET ['user'] PHP中的安全漏洞
- 12. PHP安全地变换$ _GET/$ _POST阵列
- 13. 具有$ _GET请求的安全性
- 14. 如何安全使用LIKE
- 15. 如何使用$ _GET [“页”]
- 16. 如何使用与$ _GET
- 17. WCF WebService安全性:如何在WebService上使用安全性?
- 18. 如何在安全比赛中使用不安全的代码?
- 19. 预处理语句和$ _GET(任何安全问题?)
- 20. 如何使软件安全?
- 21. 如何使DataContractSerializer更安全?
- 22. 如何安全地使用混淆器?
- 23. 如何安全Elasticsearch当使用AJAX
- 24. 如何安全使用API密钥
- 25. 如何让jQuery使用安全服务?
- 26. 如何安全地使用SwingWorker?
- 27. 如何使用安全补丁
- 28. 如何安全地使用内存?
- 29. 如何更安全地使用MyISAM表?
- 30. 在Unity中如何使用ScriptableObjects安全
可能的重复http://stackoverflow.com/search?q=sanitize+php – Gordon
看看这个questin:http://stackoverflow.com/questions/4749588/protect-against-sql-injection – enricog