對MySQL有點新,但如果我使用HTML創建一個頁面,我需要使用prepeard語句來防止SQL注入? 或者只有當我使用文本iput? 也許我使用文本輸入並不重要,因爲用戶可以在使用瀏覽器檢查工具來添加文件時編輯文件。試圖理解SQL注入
如果我使用PHP而不是HTML來包含它更容易注入代碼?
比方說,我使用Siteground設置了一個站點,我在哪裏可以找到我需要編輯的文件來防止這種情況,PHP或MySQL?
或者我只需要擔心這個,如果我寫一些自定義的PHP/MySQL代碼處理傳入數據到數據庫?
或者我問錯了問題?
謝謝!
-A
SQL注入是由用戶編寫的惡意代碼作爲用戶輸入,然後將其發送到服務器的攻擊類型。如果數據庫服務器執行這樣的代碼,那麼會發生不好的事情。
防止執行用戶輸入中提供的惡意SQL等效於轉義查詢的動態參數。這可以通過PDO或mysqli_real_escape_string完成。
因此,爲了確保您無法進行SQL注入,只需檢查所有執行直接MySQL命令的位置,並確保參數已被轉義。
控制它的文件是否保存在與文件夾保存在同一層public_html還是必須使用phpMyAdmin訪問它們? – user6044774
您應該搜索public_html –
的子文件夾等的所有子文件夾和子文件夾中的.php文件好吧,如果我沒有添加將值發佈到public_html或從數據庫收集值的php文件,那麼我不必擔心SQL注入? – user6044774
[偉大的逃避現實(或:你需要知道如何處理文本中的文本)](http://kunststube.net/escapism/) – deceze