可能重复:
防止 SQL 注入的最佳方法?
我刚刚意识到我用来拉取 mySQL 数据并将其显示在网站上的 php 脚本极易受到 SQL 注入攻击。使用哪些实践来防止这些攻击?
问问题
600 次
2 回答
0
用来mysqli_real_escape_string逃避任何事情是你应该做的最少的事情。
您可能还想研究使用准备好的语句。
在这里阅读更多:http: //php.net/manual/en/security.database.sql-injection.php
于 2012-12-02T20:38:13.227 回答
0
对您帖子的所有评论都是很好的建议。我个人更喜欢通过PHP 的 PDO使用准备好的语句。
您从用户那里获得的每个参数(无论是直接的还是间接的),您从未明确设置的变量中插入查询的每个值等,都应该使用准备好的语句插入到您的查询中。没有例外。更有经验的开发人员可以摆脱一些例外,但我建议永远不要例外。
有关示例,请参阅PHP 文档中的PDO::prepare。
于 2012-12-02T21:04:32.063 回答