1,mysql_real_escape_string()函式已經不安全,可以利用編碼的漏洞來實現輸入任意密碼就能登入伺服器的注入攻擊
2,使用擁有prepared statement機制的pdo和mysqli來代替mysql_query(注:mysql_query自 php 5.5.0 起已廢棄,並在將來會被移除)
【注:preparedstatement使用預編譯機制,在建立preparedstatement物件時就需要將sql語句傳入,傳入的過程中引數要用?替代,這個過程回導致傳入的sql被進行預編譯,然後再呼叫preparedstatement的set***將引數設定上去,由於sql語句已經經過了預編譯,再傳入特殊值也不會起作用了。
而且preparedstatement使用了預編譯機制,sql語句在執行的過程中效率比statement要高。】
3,自己定義函式進行驗證【正規表示式:(|』|(%27)|;|(%3b)|=|(%3d)|(|(%28)|)|(%29)|(/)|(%2a%2f)|+|(%2b)|<|(%3c)|>|(%3e)|(–)|[|%5b|]|%5d)】
eg:function saferequest($paraname katex parse error: expected '}', got 'eof' at end of input: …/ if(paratype == 1)
else
if(preg_match($re , $paraname)>0)else防SQL注入
這段 有好處也有壞處,用的時候得小心,搞不好就會跳進錯誤 dimsql injdata sql injdata and exec insert select delete update chr mid master truncate char declare sql inj split sql in...
防SQL注入
1.必須認定使用者輸入的資料都是不安全的 使用者輸入的資料進行過濾處理 if preg match w get username matches else 讓我們看下在沒有過濾特殊字元時,出現的sql情況 設定 name 中插入了我們不需要的sql語句 name qadir delete from ...
防SQL注入
與資料庫互動的 web 應用程式中最嚴重的風險之一 sql 注入攻擊。sql 注入是應用程式開發人員未預期的把 sql 傳入到應用程式的過程,它由於應用程式的糟糕設計而使攻擊成為可能,並且只有那些直接使用使用者提供的值構建 sql 語句的應用程式才會受影響。sql 語句通過字串的構造技術動態建立,文...