0
如果有人正在向我的基於PHP的應用程序注入MySQL語句。我使用MySQLi真正的轉義字符串,但是攻擊者只是簡單地插入SQL語句。讓我們假設:MySQL聲明注入
的攻擊只是注入聲明: http://example.com/?id=1 LIMIT 10
而且,甚至逃避串後,如下的代碼被執行。
SELECT * FROM ex WHERE id = 1 LIMIT 10
A
回答
0
MySQLi真正的轉義字符串不防止SQL注入,它只是幫助準備查詢字符串數據和轉義敏感字符。您需要使用Prepared Statements。
相關問題
- 1. MySQL加入聲明
- 2. mysql加入聲明
- 3. MySQL的加入聲明
- 4. 幫助MySQL加入聲明
- 5. MySQL - 加入或聲明?
- 6. 加入Mysql聲明問題
- 7. Mysqli預備聲明(SQL注入預防)
- 8. OSGi聲明式服務注入
- 9. 注入控制器的聲明
- 10. MYSQL聲明
- 11. MySQL或聲明
- 12. MySQL聲明
- 13. 在MySQL聲明
- 14. MySQL行聲明?
- 15. 與MySQL聲明
- 16. MYSQL加入聲明 - 我失去了
- 17. MYSQL加入聲明 - 可選表?
- 18. MySQL準備好聲明加入查詢
- 19. MySQL準備好聲明,寫入多行
- 20. 優化Mysql加入聲明查詢
- 21. 左/右/內對MySQL的聲明加入
- 22. MySQL INSERT INTO聲明
- 23. MySQL如果?聲明
- 24. MySQL主鍵聲明
- 25. MySQL的聲明,JOIN
- 26. MySQL中的聲明
- 27. MOODLE在MySQL聲明
- 28. MYSQL聲明變量
- 29. MySQL聯盟聲明
- 30. mysql更新聲明
爲什麼你不能使用預處理語句? – chris85
該應用程序相當龐大,我不得不改變每一行。 – Areeb
它沒有任何臨時解決方案嗎? – Areeb