首頁(yè) 猿問(wèn) mysql_real_escape...

mysql_real_escape_string（）和mysql_escape_是否足以確保應(yīng)用安全

MySQL PHP 安全

烙印99 2019-10-31 13:07:11

mysql_real_rescape_string（）是否足以保護(hù)我免受黑客和SQL攻擊？問(wèn)問(wèn)是因?yàn)槲衣?tīng)說(shuō)這些方法不能幫助您抵御所有攻擊媒介？尋求專家的建議。編輯：此外，怎么樣的SQL攻擊？

查看完整描述

3 回答

侃侃無(wú)極

TA貢獻(xiàn)2051條經(jīng)驗(yàn) 獲得超10個(gè)贊

我個(gè)人更喜歡準(zhǔn)備好的陳述：

<?php

$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");

if ($stmt->execute(array($_GET['name']))) {

while ($row = $stmt->fetch()) {

print_r($row);

}

?>

忽略使用其中一個(gè)*escape_string()功能時(shí)遺漏的一個(gè)或另一個(gè)特定變量是很容易的，但是如果所有查詢都是準(zhǔn)備好的語(yǔ)句，那么它們都很好，并且插值變量的使用會(huì)像拇指一樣突出。

但是，這還遠(yuǎn)遠(yuǎn)不足以確保您不會(huì)受到遠(yuǎn)程攻擊：如果您通過(guò)&admin=1with GET或POST要求表明某人是管理員，則您的每個(gè)用戶都可以在兩到三秒鐘內(nèi)輕松升級(jí)其特權(quán)。努力。請(qǐng)注意，這個(gè)問(wèn)題并不總是那么明顯：)，但這是一種簡(jiǎn)單的方式來(lái)解釋過(guò)多信任用戶提供的輸入的后果。

反對(duì) 回復(fù) 2019-10-31