什么是保护MySQL注入的最佳方法?我应该注意哪些弱点?
我知道它是什么,但我真的不知道我有多脆弱.虽然我采取了(我认为是)保护自己和我的数据库的步骤.
是否有任何阻止某人的确定方法?
顺便说一句......我用PHP写的:)
使用预准备语句而不是混合语句和实际有效负载数据.
看到
http://dev.mysql.com/tech-resources/articles/4.1/prepared-statements.html
PDO ::准备
:: mysqli的准备
您可能也对http://shiflett.org/articles/sql-injection和http://shiflett.org/blog/2007/sep/the-unexpected-sql-injection感兴趣
不相信任何人!
根据数据类型清理所有输入 - filter_var()或正则表达式或in_array()有效值或混合策略.
"输入"是指您无法直接控制的任何输入源 - 而不仅仅是表格!
消毒任何你从回来$_GET,$_POST,$_SESSION,$_COOKIE-任何可能有被污染的可能性.
和
使用预备陈述
京公网安备 11010802040832号 | 京ICP备19059560号-6 