0
我在我的代码中使用了mysql_real_escape_string($ _ REQUEST ['page'])。它能够防止我的PHP代码中的SQL注入,否则我将不得不做更多的保护?Php sql注入保护
感谢
A
回答
0
是的,但prepared statements更好。
0
个人而言,我会放弃mysql扩展名并迁移到mysqli扩展名。 mysql扩展的问题在于它的旧版本,坦率地说,它很容易忘记逃离某些东西。
mysqli支持prepared statements,它也有一个OOP API,这使得它更容易开发。
当您开始使用prepared statements时,可以更轻松地跟踪您的参数。它也会自动为你逃脱。
0
我也建议在大多数情况下使用预准备语句,但只有插入来自用户的可能是字符串的数据时才有必要。准备好的陈述更加昂贵(性能),所以当你可以避免它们时,你可能应该这样做。使用准备好的语句和/或数据库事务有很多好处。除非你已经有了,否则你应该仔细研究它。
如果您从例如表单接收数值,您只需要通过将输入转换为数字来确保数据质量(任何来自GET或POST的输入始终被PHP视为字符串,除非您将它们转换为字符串),并且任何恶意代码将被删除。
下面是一个例子:
$intCarAge = (int) $_POST['car_age'];
mysqli_query("UPDATE cars SET car_age = " . $intCarAge . " WHERE id = '123' ");
的 “(INT)” 中的输入变量$ _POST [ 'car_age']对数(整数)的数据转换。它可以在代码中的任何变量之前添加。变量内的任何字母将被删除,并保留任何数字。 You can read more about number conversion here.
希望我有任何帮助!
相关问题
- 1. PHP - 自动SQL注入保护?
- 2. PHP SQL注入防护
- 3. SQL注入保护 - 何时何地
- 4. 保护免受恶意的sql注入
- 5. PDO in Codeigniter - 保护vs SQL注入
- 6. null列保护免受sql注入
- 7. 如何从SQL注入保护PHP中的SQL?
- 8. 这足以保护再次SQL注入?
- 9. 用OpenCart保护SQL注入攻击2.3.0.2
- 10. Kohana 2.3.4 ORM sql注入保护
- 11. 从SQL注入保护应用程序
- 12. Parameritized查询C#SQL注入保护
- 13. 表达式中的SQL注入保护
- 14. 传统的ASP SQL注入保护
- 15. 保护PHP免受MySQL注入
- 16. 在PHP中默认情况下是否有sql注入保护?
- 17. 这个php代码保护我从SQL注入和XSS?
- 18. PHP PDO:保护针对SQL注入的动态标识符
- 19. 保护从SQL注入获取变量与PHP数字函数
- 20. 用户输入php的sql保护
- 21. PHP&SQL:从SQL注入保护此查询的最佳方法不使用PDO
- 22. 我需要保护从SQL注入攻击
- 23. rails xss保护机制还针对sql注入?
- 24. 如何保护Amazon SimpleDB免受SQL注入?
- 25. 保护PHP注册表格溢出?
- 26. SQL注入的PHP
- 27. Lib保护用于java/jsp的SQL/javascript注入
- 28. Zend_DB/Doctrine保护我免受SQL注入吗?
- 29. 针对动态查询的SQL注入保护
- 30. 如何从SQL注入保护此代码?有点困惑
不是,它不是。 mysql_real_escape_string只能帮助字符串 – 2010-12-27 14:54:43