为了账号安全,请及时绑定邮箱和手机立即绑定

mysql_real_escape_string()和mysql_escape_是否足以确保应用安全

/ 猿问

mysql_real_escape_string()和mysql_escape_是否足以确保应用安全

烙印99 2019-10-31 13:07:11

mysql_real_rescape_string()是否足以保护我免受黑客和SQL攻击?问问是因为我听说这些方法不能帮助您抵御所有攻击媒介?寻求专家的建议。


编辑:此外,怎么样的SQL攻击?


查看完整描述

3 回答

?
侃侃无极

TA贡献1713条经验 获得超10个赞

我个人更喜欢准备好的陈述:


<?php

$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");

if ($stmt->execute(array($_GET['name']))) {

  while ($row = $stmt->fetch()) {

    print_r($row);

  }

}

?>

忽略使用其中一个*escape_string()功能时遗漏的一个或另一个特定变量是很容易的,但是如果所有查询都是准备好的语句,那么它们都很好,并且插值变量的使用会像拇指一样突出。


但是,这还远远不足以确保您不会受到远程攻击:如果您通过&admin=1with GET或POST要求表明某人是管理员,则您的每个用户都可以在两到三秒钟内轻松升级其特权。努力。请注意,这个问题并不总是那么明显:),但这是一种简单的方式来解释过多信任用户提供的输入的后果。


查看完整回答
反对 回复 2019-10-31

添加回答

回复

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信