技术频道

公众号推荐

微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦！

php – “mysqli_real_escape_string”是否足以避免SQL注入或其他SQL攻击？

时间：2020-08-24分类：PHP作者：编程之家

这是我的代码：

$email= MysqLi_real_escape_string($db_con,$_POST['email']);
  $psw= MysqLi_real_escape_string($db_con,$_POST['psw']);

  $query = "INSERT INTO `users` (`email`,`psw`) VALUES ('".$email."','".$psw."')";

有人可以告诉我它是否安全,或者它是否容易受到sql注入攻击或其他sql攻击？

解决方法

Could someone tell me if it is secure or if it is vulnerable to the sql Injection attack or other sql attacks ?

正如uri2x所说,见SQL injection that gets around mysql_real_escape_string().

The best way to prevent SQL injection is to use prepared statements.它们将数据(您的参数)与指令(SQL查询字符串)分开,并且不会为数据留下任何污染查询结构的空间.准备好的声明解决了fundamental problems of application security之一.

对于无法使用预准备语句(例如LIMIT)的情况,为每个特定目的使用非常严格的白名单是保证安全性的唯一方法.

// This is a string literal whitelist
switch ($sortby) {
    case 'column_b':
    case 'col_c':
        // If it literally matches here,it's safe to use
        break;
    default:
        $sortby = 'rowid';
}

// Only numeric characters will pass through this part of the code thanks to type casting
$start = (int) $start;
$howmany = (int) $howmany;
if ($start < 0) {
    $start = 0;
}
if ($howmany < 1) {
    $howmany = 1;
}

// The actual query execution
$stmt = $db->prepare(
    "SELECT * FROM table WHERE col = ? ORDER BY {$sortby} ASC LIMIT {$start},{$howmany}"
);
$stmt->execute(['value']);
$data = $stmt->fetchAll(PDO::FETCH_ASSOC);

我认为上面的代码不受sql注入的影响,即使在不起眼的边缘情况下也是如此.如果你正在使用MysqL,请确保你转动模拟准备.

$db->setAttribute(\PDO::ATTR_EMULATE_PREPARES,false);

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。

上一篇：php – 获取select选项的值并直接将下一篇：基于PHP变量定义CSS属性值

相关推荐

vue+thinkphp5实现微信扫码支付(NATIVE支付)

统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单，返回预支付订单号的接口，目前微信支付所有场景均使用这一接口。下面介绍的是其中NATIVE的支付实现流程与PC端实现扫码支付流程

作者：我恨bug 时间：2024-07-30

uniapp+thinkphp5实现微信扫码支付(APP支付)

统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单，返回预支付订单号的接口，目前微信支付所有场景均使用这一接口。下面介绍的是其中APP的支付的配置与实现流程

作者：我恨bug 时间：2024-07-30

uniapp+thinkphp5实现微信登录

前言之前做了微信登录，所以总结一下微信授权登录并获取用户信息这个功能的开发流程。配置 1.首先得在微信公众平台申请一下微信小程序账号并获取到小程序的AppID和AppSecret https://mp.weixin.qq.com/cgi-bin/loginpage?url=%2Fwxamp%2F

作者：我恨bug 时间：2024-07-30

【PHP】关于fastadmin框架中使用with进行连表查询时setEagerlyType字段的理解

FastAdmin是我第一个接触的后台管理系统框架。FastAdmin是一款开源且免费商用的后台开发框架，它基于ThinkPHP和Bootstrap两大主流技术构建的极速后台开发框架，它有着非常完善且强大的功能和便捷的开发体验，使我逐渐喜欢上了它。

作者：我恨bug 时间：2024-07-30

【workerman】uniapp+thinkPHP5使用GatewayWorker实现实时通讯

之前公司需要一个内部的通讯软件，就叫我做一个。通讯软件嘛，就离不开通讯了，然后我就想到了长连接。这里本人用的是GatewayWorker框架。

作者：我恨bug 时间：2024-07-30

uniapp+thinkphp5实现微信支付(JSAPI支付)

统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单，返回预支付订单号的接口，目前微信支付所有场景均使用这一接口。下面介绍的是其中JSAPI的支付实现流程

作者：我恨bug 时间：2024-07-30

服务器优化必备：深入了解PHP8底层开发原理

服务器优化必备：深入了解PHP8底层开发原理

作者：编程之家时间：2023-09-11

Golang的网络编程：如何快速构建高性能的网络应用？

Golang的网络编程：如何快速构建高性能的网络应用？

作者：编程之家时间：2023-09-11

Golang和其他编程语言的对比：为什么它的开发效率更高？

Golang和其他编程语言的对比：为什么它的开发效率更高？

作者：编程之家时间：2023-09-11

PHP8底层开发原理揭秘：如何利用新特性创建出色的Web应用

PHP8底层开发原理揭秘：如何利用新特性创建出色的Web应用

作者：编程之家时间：2023-09-11

小编推荐

苹果市值2025年有望达4万亿美元