mysql_real_rescape_string()是否足以保护我免受黑客和SQL攻击?问问是因为我听说这些方法不能帮助您抵御所有攻击媒介?寻求专家的建议。编辑:此外,怎么样的SQL攻击?
3 回答
侃侃无极
TA贡献2051条经验 获得超10个赞
我个人更喜欢准备好的陈述:
<?php
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");
if ($stmt->execute(array($_GET['name']))) {
while ($row = $stmt->fetch()) {
print_r($row);
}
}
?>
忽略使用其中一个*escape_string()功能时遗漏的一个或另一个特定变量是很容易的,但是如果所有查询都是准备好的语句,那么它们都很好,并且插值变量的使用会像拇指一样突出。
但是,这还远远不足以确保您不会受到远程攻击:如果您通过&admin=1with GET或POST要求表明某人是管理员,则您的每个用户都可以在两到三秒钟内轻松升级其特权。努力。请注意,这个问题并不总是那么明显:),但这是一种简单的方式来解释过多信任用户提供的输入的后果。
添加回答
举报
0/150
提交
取消