7
在PHP手冊,還有一張紙條:mysql_real_escape_string足以支持反SQL注入嗎?
注意:如果這個功能不是用來 逃生數據,查詢很容易受到 SQL注入式攻擊。
這是否足以防SQL注入?如果沒有,你能舉一個例子和一個很好的解決方案來反SQL注入?
A
回答
6
mysql_real_escape_string通常足以避免SQL注入。這取決於它是否是無缺陷的,也就是說它有一些未知的機會,它很容易受到攻擊(但這在現實世界中還沒有表現出來)。完全排除概念層面的SQL注入的更好的替代方法是prepared statements。這兩種方法完全取決於你正確應用它們;即使你只是簡單地搞亂了它們,也不會保護你。
0
0
最好的解決方案是PDO。
如果您使用的是傳統mysql_query,那麼通過mysql_real_escape_string()運行所有數據就足夠了。
+0
什麼是參數化查詢? – Jichao 2010-11-13 05:31:54
+0
參數化查詢也可以在PDO擴展 – stillstanding 2010-11-13 05:32:18
相關問題
- 1. SQL注入mysql_real_escape_string
- 2. mysql_real_escape_string可以防止各種sql注入嗎?
- 3. 「mysqli_real_escape_string」足以避免SQL注入或其他SQL攻擊嗎?
- 4. 使用mysql_real_escape_string和stripslashes避免SQL注入
- 5. Spring支持接口注入嗎
- 6. 這足以保護再次SQL注入?
- 7. 防止SQL注入:mysql_real_escape_string()真的是我需要的嗎?
- 8. str_replace的這種用法足以防止SQL注入攻擊嗎?
- 9. JMS/ActiveMQ的持久存儲容量足以支持200 GB嗎?
- 10. Swift支持反射嗎?
- 11. 包裝API以支持依賴注入
- 12. DataObjects.NET可以支持SQL標識列嗎?
- 13. PHP的mysql_real_escape_string和MySQL注入
- 14. 在輸入中禁止使用單引號足以避免SQL注入嗎?
- 15. LINQ to SQL支持POCO嗎?
- 16. SQL Azure HierarchyId支持嗎?
- 17. htmlentities()和mysql_real_escape_string()是否足以清除PHP中的用戶輸入?
- 18. 反向mysql_real_escape_string
- 19. 正確驗證用戶輸入不足以防止sql注入
- 20. 可以Struts支持HTML5嗎?
- 21. AgensGraph可以支持HA嗎?
- 22. 做htmlspecialchars和mysql_real_escape_string保持我的PHP代碼安全注入?
- 23. 這個小Doctrine2動態SQL足夠安全的注入嗎?
- 24. VBScript支持對象的反思嗎?
- 25. greenDao支持(或有計劃支持)註釋處理嗎?
- 26. 重寫SQL支持加入
- 27. IIS Express可以支持反向代理嗎?
- 28. 爲什麼mysql_real_escape_string()不應該避免任何SQL注入?
- 29. 不是Spring真的支持接口注入嗎?
- 30. FILTER_SANITIZE_STRING是否足以避免SQL注入和XSS攻擊?
請參閱[mysql_real_escape_string()是否完全防範SQL注入? ](http://stackoverflow.com/questions/1220182/does-mysql-real-escape-string-fully-protect-against-sql-injection)。 – 2010-11-13 05:31:33
絕對是以上的副本 – mikeycgto 2011-06-30 03:45:39