0

一些黑客可以访问我的数据库,我会找到错误;我无权访问服务器日志。我制作了这段代码以将可疑查询保存在文本文件中:

function query($query) {
$file = 'sqllog.txt';
if(/* Which condition should i use to detect? */){
$contents = file_get_contents($file);
$contents.="\r\n";
$contents.=$query;
file_put_contents($file,$contents);
}
$this->theQuery = $query;
return mysql_query($query, $this->link);
}

我应该使用哪种条件来检测 sql 注入可疑查询?

4

1 回答 1

3

您应该在您的代码库中寻找未经处理的输入(即不使用mysql_real_escape_string)。理想情况下,在将参数插入查询之前立即调用此函数。

或者,考虑使用 PDO 切换到准备好的语句,SQL 注入将不再是问题。

于 2012-10-19T18:20:17.473 回答