0
我需要使用get函數從url中檢索$ title變量。
$title=$_GET["title"];
$ title稍後將用於MySQL查詢。
問題是如何使這個安全嗎? 換句話說,如何抵消通過URL發送的任何惡意代碼。
A
回答
5
(對於「secure」的值等於「以防止它打破數據庫」):使用任何使用bound parameters的數據庫API。
綁定參數傾向於讓數據庫處理轉義(因此使用由數據庫作者而不是語言作者編寫的轉義例程),並使用不太容易被遺忘的語法,然後手動轉義每條輸入數據(例如)mysql_real_escape_string。
您可能需要在以後採取其他步驟,你在不同的上下文做對數據進行處理之前(例如,使其安全地插入到HTML文檔)
0
您可以使用mysql_real_escape_string功能(轉義特殊字符在SQL語句中使用的字符串)
1
必須使用mysql_real_escape_string(),以逃避可能與你的數據庫干擾的所有字符。如果您顯示此標題,您還應該使用htmlentities()或striptags()
0
使用查詢參數。有許多不同的方法可以從PHP連接到mysql,並且它們使用參數的方式因框架而異。下面是使用PDO爲例:
$dbh = new PDO('mysql:dbname=test;host=127.0.0.1', 'username', 'password');
$sth = $dbh->prepare("select * from table where title = :title")
$sth->execute(array(':title' => $_GET["title"]));
$rows = $sth->fetchAll();
var_dump($rows);
1
相關問題
- 1. 我如何使$ _GET更安全。
- 2. $ _GET php安全
- 3. Better $ _GET安全
- 4. 如何安全地回顯$ _GET?
- 5. 如何安全使用$ _GET [「id」]與PDO查詢?
- 6. 如何隱藏$ _GET變量以更安全地使用PHP?
- 7. 如何在file_exists中使用$ _GET路徑並保持安全?
- 8. PHP安全$ _GET參數
- 9. 如何使用$ _GET
- 10. 使用PHP編碼$ _GET []值以使它們更安全
- 11. 如何安全地使用file_get_contents?
- 12. 使用$ _GET路徑顯示圖像安全嗎?
- 13. 可以使用原始的$ _GET來獲取文件不安全?
- 14. 使用標題安全地重定向到$ _GET變量()
- 15. $ _GET ['user'] PHP中的安全漏洞
- 16. 安全$ _GET請求與電話
- 17. PHP安全地變換$ _GET/$ _POST陣列
- 18. PHP $ _GET [「身份證」]和安全
- 19. 具有$ _GET請求的安全性
- 20. PHP幫助保持$ _GET安全
- 21. 如何安全使用cronjobs
- 22. 如何安全使用UPX?
- 23. 如何安全使用LIKE
- 24. 如何使用安全RPC?
- 25. 如何使用$ _GET [「頁」]
- 26. 如何使用與$ _GET
- 27. 在php中使用超全局$ _GET類
- 28. 如何在參數$ _GET中使用變量?例如:($ _GET [$ my_var])
- 29. 如何在安全比賽中使用不安全的代碼?
- 30. WCF WebService安全性:如何在WebService上使用安全性?
可能的重複http://stackoverflow.com/search?q=sanitize+php – Gordon
看看這個questin:http://stackoverflow.com/questions/4749588/protect-against-sql-injection – enricog