0
mysql_real_escape_string用於SQL語句。僅僅是數據庫安全就足夠了嗎?例如,使用get_magic_quotes_gpc(),我們使用stripslashes。是否有任何問題需要我們通過mysql_real_escape_string使用其他函數? 在此先感謝mysql_real_escape_string:僅僅是數據庫安全就足夠了嗎?
A
回答
3
如果你想擁有一個更安全的數據庫,只需轉義字符串是不夠的。這對於SQL注入攻擊肯定會有所幫助,但還有許多其他方法可以危害數據庫。
一些指針:在
- 實踐「最小特權」被授予訪問到你的數據庫應該有最小權限來完成他們的任務,並沒有其他的用戶和帳戶。
- 確保您的密碼難以猜測(由低位和高位字母,數字,符號等組成)並定期更改。
- 除非絕對必要(假設您正在運行商業網站),否則不要保存信用卡號碼。
- 哈希和鹽可能您的密碼,將它們存儲在你的數據庫之前,如果你有用戶帳戶
- 檢查,重複檢查端口號(3306爲MySQL)和權限上的文件和目錄,尤其是當用戶上傳文件
這些通常是很好的做法,您應該意識到SQL注入攻擊範圍之外的數據庫問題。
+0
@SHC;這是否意味着我們在php中只有50%-60%的安全性? – TheNone 2010-06-26 08:57:07
+0
關於SQL注入攻擊,逃脫本身將無濟於事 – 2010-06-26 09:26:40
+0
得到任何「最小特權」實踐的真實生活的例子? – 2010-06-26 09:29:26
2
不是真的。 SQL語句不同。對於其中的一些而言,這有助於其他人,而不是。
希望它可以給你完整的圖片,但我們歡迎您要問,如果事情還不清楚。
請注意,get_magic_quotes_gpc()和stripslashes不是數據庫問題。這只是輸入數據驗證的東西,它有沒有關係SQL
0
1)關閉magic_quotes_gpc的
2)是否足夠與mysql_real_escape_string()
相關問題
- 1. 僅僅通過在事務中運行來安全地測試存儲過程就足夠了嗎?
- 2. 就足夠了?
- 3. 爲了捕獲BOOT_COMPLETED,僅僅在`AndroidManifest.xml`中註冊BroadcastReceiver就足夠了?
- 4. AJP足夠安全嗎?
- 5. htmlspecialchars()足夠安全嗎?
- 6. 它足夠安全嗎?
- 7. Firebase:它足夠安全嗎?
- 8. PHP:filter_var安全性足夠安全嗎?
- 9. 僅需每天或每週發射一次Sonar就足夠了嗎?
- 10. 測試iPhone應用程序時,僅使用Leaks儀器就足夠了嗎?
- 11. 當你做單元測試時,僅僅實例化其他域對象就足夠了嗎?
- 12. Gmail是否足夠安全?
- 13. 這是否足夠安全?
- 14. 在ASP.NET頁面中設計大規模電子郵件---僅僅是一個foreach循環,而SmtpClient就足夠了?
- 15. 數據庫安全性不夠安全
- 16. 足夠的保護足夠了嗎?
- 17. 此登錄系統足夠安全嗎?
- 18. mysql_real_escape_string()是否足夠用於MySQL REGEXP?
- 19. 用jQuery將數據發佈到ASP.net,我足夠安全嗎?
- 20. 提供的加密安全令牌僅適用於一項對Web服務足夠安全的請求嗎?
- 21. 使用base64_encode而不是mysql_real_escape_string安全嗎?
- 22. MVC設計中的模型僅僅是一個數據庫嗎?
- 23. Webservice安全性 - 什麼是足夠的?
- 24. 這些安全功能是否足夠?
- 25. Erlang是否通過cookie足夠安全?
- 26. 這是足夠安全的,對散列
- 27. php-login.net足夠小安全
- 28. GEF4足夠成熟了嗎?
- 29. 僅UINavigationController是全屏嗎?
- 30. 僅在Dartium中調試我的Dart編寫的客戶端Web應用程序就足夠了嗎?
你懶惰的按鈕拒絕點擊鏈接:)希望同樣的文字copypasted在盤子上。要儘自己的煩惱,雖然 – 2010-06-26 09:28:31
我已編輯Col :) – TheNone 2010-06-26 09:44:25