我认为我有一个完整的工作网站,有许多调用
MySQL服务器,并在这个网站上做了一些研究,我看到以这种形式制作我的查询:
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",MysqL_real_escape_string($user),MysqL_real_escape_string($password));
我可以解决安全问题,但是,正如我所说的,我有很多调用MysqL服务器,并且解决问题的最好方法(在我的情况下)直接转到vars im传递给查询但是whitout使用a MysqL函数因为im出了查询.让我解释一下,我有这个:
MysqL_query("SELECT * FROM `post` WHERE id=" . $_GET['edit']);
我不能对这个查询进行修改,因为我在我的所有代码中都有很多这样的东西,我想要检查var上的注入,$_GET [‘edit’].
$_GET['edit']=freehack($_GET['edit']);
不要这样做.通过使用“安全”版本替换$_GET参数的值,您将污染输入数据,这可能是其他地方所需要的.
只有在需要在数据库层上使用数据时才转义数据.它只需要您一点时间来修复您的查询,从长远来看将为您节省大量的麻烦.
无论如何,你在做什么仍然不安全!见:PHP: Is mysql_real_escape_string sufficient for cleaning user input?
你真的应该使用prepared queries with PDO.此外,在查询中使用它之前,你应该检查你的用户输入的有效性.
原文地址:https://www.jb51.cc/php/133752.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
