如何驗證meekrodb的安全性？

Question

Meekrodb是一個簡單的php - > mysql庫。我如何測試/驗證它是否安全，如針對sql注入攻擊？

Answer 1

的第一個選項是閱讀FAQ：

是否有我應採取防止SQL注入任何額外的預防措施？

如果遵循2條簡單規則，MeekroDB使SQL注入成爲100％是不可能的。首先，不要在用戶提供的數據中使用％l（文字）佔位符。這個佔位符並不像所有其他人那樣逃避你的數據。其次，決不要在運行時改變使用MySQL命令SET NAMES或SET CHARACTER SET的字符集。如果您需要更改字符集，則只需在您設置MySQL用戶名/密碼的相同位置使用DB :: $編碼。

的秒選項，假設你有一個許可證：

使用查詢/輸入字段通過填寫：

'\" 

這有可能導致你所見過的最怪異的錯誤。它可能只是被轉換，在這種情況下，你證明它是安全的。

更新

例如，從那裏第一次去要求（與安全組合）：

「MeekroDB照顧引號和逃避你。」

現在來測試這個特定要求他們提供有處理這種情況的方法：

DB::query("SELECT * FROM login WHERE username=%s AND password=%s", 
                 $username, 
                 $password); 

爲了證明這種說法其實是真的，你可以寫一個小的應用程序，它會（例如）輸入：

$username = "''""\";