我是否從sql注入保護我的網站？

Question

我做了一個網站，我只顯示來自我的數據庫表的項目，我將變量從一個頁面傳遞給另一個顯示某些項目，沒有添加，刪除或編輯我的表格項目在我的網站只是顯示信息。

$aaa = _POST['aaa']; 

$databasehost = "localhost"; 
$databasename = "mydb"; 
$databaseusername = "user"; 
$databasepassword = "password"; 

// Connect to the database server 
$dbcnx = @mysql_connect($databasehost, $databaseusername, $databasepassword); 
if (!$dbcnx) { 
echo("<font color='red'><P>can't connect to server.</P></font>"); 
exit(); 
    } 
// Select the database 
if (! @mysql_select_db($databasename)) { 
echo("<font color='red'><P>can't connect to db </P></font>"); 
exit(); 
    } 

$aaa = mysql_real_escape_string($aaa) 

// and with $aaa I do my query 

我已閱讀，保護我的變量與mysql_real_escape_string（）我停止任何注射到我的查詢的，但我覺得容易有：

$databasehost = "localhost"; 
$databasename = "mydb"; 
$databaseusername = "user"; 
$databasepassword = "password"; 

我只是偏執或者是有辦法保護這個連接到y服務器和數據庫的信息？

Answer 1

任何人都沒有辦法在沒有訪問服務器的情況下查看數據庫連接信息（因爲PHP在服務器上執行並且不會發送到用戶的瀏覽器）。這就是說，如果你擔心你可能想考慮把這些變量放在一個配置文件中並加密它們。

Answer 2

如果你的目標是嚴格防止通過$ aaa變量注入，你應該沒問題。正如@MikeG指出的那樣，但是您應該將連接信息移動到Web根目錄之外的單獨配置文件中以提高安全性（如果有人獲得您的數據庫證書，則不需要擔心注入）。

Answer 3

它應該沒關係，但是如果你關心它，只需將字符串mysql_real_escape_string傳遞給數據庫的所有值轉義並對數值取intval/floatval。

這不是完美的安全性，但它比不這樣做更好。