第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號(hào)安全,請(qǐng)及時(shí)綁定郵箱和手機(jī)立即綁定
已解決430363個(gè)問(wèn)題,去搜搜看,總會(huì)有你想問(wèn)的

PHP MySQLI防止SQL注入

PHP MySQLI防止SQL注入

搖曳的薔薇 2019-10-12 10:26:49
我已經(jīng)建立了一個(gè)網(wǎng)站,該網(wǎng)站即將上線,并且有幾個(gè)關(guān)于防止SQL注入的問(wèn)題,我知道如何使用,mysqli_real_escape_string但是我只是想知道是否必須在要獲取的所有變量上使用它SQL語(yǔ)句,是否在執(zhí)行select語(yǔ)句時(shí)還是在插入更新和刪除時(shí)必須使用它?另外,在我將網(wǎng)站投入使用之前,您還建議我實(shí)施哪些其他安全措施,在此先感謝您的幫助!
查看完整描述

2 回答

?
慕村225694

TA貢獻(xiàn)1880條經(jīng)驗(yàn) 獲得超4個(gè)贊

任何查詢都可以被注入,無(wú)論是讀取還是寫(xiě)入,持久性還是瞬時(shí)性??梢酝ㄟ^(guò)結(jié)束一個(gè)查詢并運(yùn)行一個(gè)單獨(dú)的查詢(可能帶有mysqli)來(lái)執(zhí)行注入,這會(huì)使所需的查詢變得無(wú)關(guān)緊要。


來(lái)自外部源的查詢的任何輸入,無(wú)論是來(lái)自用戶還是內(nèi)部的輸入,都應(yīng)視為該查詢的參數(shù)以及該查詢上下文中的參數(shù)。查詢中的任何參數(shù)都需要參數(shù)化。這會(huì)導(dǎo)致參數(shù)化查詢正確,您可以從中創(chuàng)建準(zhǔn)備好的語(yǔ)句并使用參數(shù)執(zhí)行。例如:


SELECT col1 FROM t1 WHERE col2 = ?

?是參數(shù)的占位符。使用mysqli,您可以使用創(chuàng)建一個(gè)準(zhǔn)備好的語(yǔ)句,使用來(lái)prepare將變量(參數(shù))綁定到參數(shù)bind_param,然后使用來(lái)運(yùn)行查詢execute。您根本不需要清理參數(shù)(實(shí)際上這樣做是有害的)。  mysqli為您做到這一點(diǎn)。整個(gè)過(guò)程將是:


$stmt = mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");

$stmt->bind_param("s", $col2_arg);

$stmt->execute();

參數(shù)化查詢和預(yù)備語(yǔ)句之間也有重要區(qū)別。該語(yǔ)句在準(zhǔn)備時(shí)并未進(jìn)行參數(shù)化,因此容易注入:


$stmt = mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");

總結(jié)一下:


所有查詢都應(yīng)正確參數(shù)化(除非它們沒(méi)有參數(shù))

不論其來(lái)源如何,查詢的所有參數(shù)都應(yīng)被視為具有敵意


查看完整回答
反對(duì) 回復(fù) 2019-10-12
  • 2 回答
  • 0 關(guān)注
  • 1105 瀏覽
慕課專欄
更多

添加回答

舉報(bào)

0/150
提交
取消
微信客服

購(gòu)課補(bǔ)貼
聯(lián)系客服咨詢優(yōu)惠詳情

 幫助反饋 APP下載

慕課網(wǎng)APP
您的移動(dòng)學(xué)習(xí)伙伴

 公眾號(hào)

掃描二維碼
關(guān)注慕課網(wǎng)微信公眾號(hào)