我有一个托管在共享主机上的网站.
他们安装了PHP 5.2.13.
我知道sql注入的漏洞,我想阻止它.
所以我想使用PDO或MysqLi来防止它.
但是当我使用PHPinfo()时的问题;查看托管环境PHP设置信息,
我发现PDO没有MysqL驱动程序,并且没有支持MysqLi.
所以我想知道使用旧的MysqL_ *函数是否安全(以及
函数如MysqL_real_escape_string).
我在SO上看了这个,但对我来说没什么用.
Prepared statements possible when mysqli and PDO are not available?
更新:
我忘了提到大多数查询都很简单.没有使用任何表单,因此不会使用任何用户输入来进行查询.所有查询都将使用必要的参数进行硬编码,一旦设置就不会更改.
解决方法:
如果你真的非常严格地总是使用MysqL_real_escape_string()和所有用户提供的输入,那么我认为你应该对任何准备语句保护你的sql注入安全.
你有多完美?我敢打赌,大多数缓冲区溢出漏洞都是由程序员创建的,他们认为他们擅长检查输入….
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
