如何解决相对于sql注入的安全性是否合理?
| 我正准备启动一个网站-我从头开始编写的第一个网站。这将是低流量和低调的(可能不会被搜索引擎抓取。)我正在使用PEAR的数据库库及其query()方法的占位符进行存储用户数据,如下:<?PHP
require_once(\'db.inc\');
$firstname = $_POST[\'firstname\'];
$lastname = $_POST[\'lastname\'];
$rsvp = $_POST[\'rsvp\'];
$mail = $_POST[\'email\'];
$phone = $_POST[\'phone\'];
$lodging = $_POST[\'lodging\'];
$extra = $_POST[\'extra\'];
$msg = $_POST[\'msg\'];
$password = $_POST[\'password\'];
$id = $_POST[\'id\'];
$username = $firstname . \' \' . $lastname;
if (isset($id)) {
$sql = $conn->query(\"UPDATE guest SET username = ?,mail = ?,phone = ?,lodging = ?,extra = ?,msg = ?,role = ?,password = ?,mailed = ? WHERE id = ?\",array($username,$mail,$phone,$lodging,$extra,$msg,2,$password,$id)); //Todo!! set mailed to 1 in production
} else {
$sql = $conn->query(\'INSERT INTO guest (username,password,rsvpstatus,role,mail,phone,lodging,extra,msg,mailed)VALUES (?,?,?)\',$rsvp,1));
}
header(\'location:main.PHP\');
与sql注入相比,这似乎是一个合理的保护级别吗?
解决方法
像您所做的那样,占位符和绑定正是针对sql注入的防御措施。只要您从不直接将任何用户输入内插到sql中,就可以了。
,您可以在PHP中使用mysql_real_escape_string函数(php.net中的view函数)
转义中的特殊字符
unescaped_string,考虑到
当前的字符集
连接,以便安全放置
它在mysql_query()中
例:
$secure_firstname = mysql_real_escape_string( $_POST[\'firstname\'] );
$secure_lastname = mysql_real_escape_string( $_POST[\'lastname\'] );
,只要该库引用并转义其所有参数,就可以了。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。