0

我在我的 PHP 代码中使用mysql_real_escape_string()Htmlspecialchars()函数,以使其免受 sql 注入和 XSS 的影响。有没有可能破解这些功能?如果是的话,你能描述一下它是如何完成的,以便我可以改进我的代码。

非常感谢你。

4

2 回答 2

1

如果您的 PHP 已更新,请尝试使用 mysqli 或 PDO 和准备好的语句

但是要回答您的问题,可以注入 YES mysql_real_escape_string() ,但是这样做非常复杂。这是一个例子

于 2012-11-20T15:25:09.213 回答
0

要防止 SQL 注入,您要做的第一件事是使用PDO和准备好的语句。或者至少是 mysqli,因为 mysql 已被弃用,迁移到 mysqli 非常容易并且已经过优化

如果你使用mysql_real_escape_strings你应该是安全的,只要你正确地逃脱并且在你真正需要的地方,请记住,在大多数情况下,错误是人为的,而不是因为功能:P

于 2012-11-20T15:26:36.603 回答