1
我打算通過使用$變量來防止SQL注入,並將其路由到一個函數,該函數將掃描任何sql命令的$變量或任何注入嘗試。我還會列出一些常用的sql命令列表,供人們使用注入,以便檢測到。這個SQL注入預防工作是否在理論上?
注:我以前問過類似的問題,但這個時候,我有一個理論,我設法想;)
A
回答
3
防止SQL注入的最簡單而安全的方法是使用任何不可信的數據mysql_real_escape_string()(如:$ _GET或$ _POST)。它將轉義任何特殊字符,以便查詢安全。
如果你使用的mysqli,看到http://www.php.net/manual/en/mysqli.real-escape-string.php
更多關於SQL注入以及如何保護自己反對:http://www.php.net/manual/en/security.database.sql-injection.php
所以,你的計劃是不是做到這一點的最好辦法。它不必要地使事情複雜化。
3
否。黑名單將不可避免地給出誤報,幾乎肯定會給出錯誤的否定。
使用bound parameters並讓數據庫爲您處理它。
相關問題
- 1. SQL注入理論
- 2. PHP SQL注入預防
- 3. SQL注入預防 - GET_VARS
- 4. Zend SQL注入預防
- 5. MySqlBulkLoader SQL注入預防
- 6. SQL注入預防與Omniauth
- 7. Mysqli預備聲明(SQL注入預防)
- 8. psycopg2的「execute()」是否提供了足夠的SQL注入預防?
- 9. Python MySQLdb防止SQL注入 - 不按預期方式工作
- 10. psychopg2:是否cursor.mogrify防止sql注入?
- 11. 此代碼是否防止SQL注入?
- 12. 加密是否防止sql注入?
- 13. pg_prepare()預處理語句(不是PDO)是否阻止SQL注入?
- 14. MySQL注入預防
- 15. SQL注入預防與休眠
- 16. SQL注入與Microsoft Access和VB.NET預防
- 17. SQL注入預防:最大的措施
- 18. 自動SQL注入預防PHP庫
- 19. PHP SQL注入預防語法
- 20. SQL注入預防 - 單行方法?
- 21. SQL注入:這行是否安全?
- 22. 這是否容易發生SQL注入?
- 23. 這是否容易受到SQL注入?
- 24. PHP activerecord基本CRUD操作是否可以防止SQL注入?
- 25. 在MySQL中使用預準備語句是否防止SQL注入攻擊?
- 26. 這是一個安全的方法來防止SQL注入?
- 27. 依賴注入在Quartz工作預定的類上不工作
- 28. 防止SQL注入這條語句
- 29. MySQL注入預防不起作用?
- 30. 這些SQL查詢中是否存在SQL注入攻擊?