为了账号安全,请及时绑定邮箱和手机立即绑定

PHP MySQLI防止SQL注入

/ 猿问

PHP MySQLI防止SQL注入

摇曳的蔷薇 2019-10-12 10:26:49

我已经建立了一个网站,该网站即将上线,并且有几个关于防止SQL注入的问题,我知道如何使用,mysqli_real_escape_string但是我只是想知道是否必须在要获取的所有变量上使用它SQL语句,是否在执行select语句时还是在插入更新和删除时必须使用它?另外,在我将网站投入使用之前,您还建议我实施哪些其他安全措施,在此先感谢您的帮助!



查看完整描述

2 回答

?
慕村225694

任何查询都可以被注入,无论是读取还是写入,持久性还是瞬时性。可以通过结束一个查询并运行一个单独的查询(可能带有mysqli)来执行注入,这会使所需的查询变得无关紧要。


来自外部源的查询的任何输入,无论是来自用户还是内部的输入,都应视为该查询的参数以及该查询上下文中的参数。查询中的任何参数都需要参数化。这会导致参数化查询正确,您可以从中创建准备好的语句并使用参数执行。例如:


SELECT col1 FROM t1 WHERE col2 = ?

?是参数的占位符。使用mysqli,您可以使用创建一个准备好的语句,使用来prepare将变量(参数)绑定到参数bind_param,然后使用来运行查询execute。您根本不需要清理参数(实际上这样做是有害的)。  mysqli为您做到这一点。整个过程将是:


$stmt = mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");

$stmt->bind_param("s", $col2_arg);

$stmt->execute();

参数化查询和预备语句之间也有重要区别。该语句在准备时并未进行参数化,因此容易注入:


$stmt = mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");

总结一下:


所有查询都应正确参数化(除非它们没有参数)

不论其来源如何,查询的所有参数都应被视为具有敌意


查看完整回答
反对 回复 2019-10-12
?
慕丝7291255

它会在几秒钟内关闭,但只是为了使事情变得简单


我了解如何使用mysqli_real_escape_string


恐怕你不是。


如果我必须在要为我的SQL语句获取的所有变量上使用它


当然不。

此功能必须使用格式化SQL字符串只


在执行select语句时还是在插入更新和删除时是否必须使用它?


ANY SQL语句。但是同样,不是“使用mysqli_real_escape_string”,而是完全正确地格式化文字


还有什么其他安全性你会推荐


关于SQL安全性-您不仅要正确格式化字符串,还要正确格式化任何种类的文字。每个都需要一套独特的格式设置规则


查看完整回答
反对 回复 2019-10-12

添加回答

回复

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信