-1

我的数据库最近遭受了 sql 注入攻击,主要是因为我对编程比较陌生,不知道这样的事情。我一直在尝试学习如何防止它们,但我不知道如何使用这个脚本。我确实有另一种我成功实现的脚本。如何使用此脚本防止 sql 注入攻击?

<?php

$autor = $_GET["multi"];
$autop = $_GET["multis"];

$sql = "UPDATE autoj SET autob = '$autop' WHERE autoq = '$autor'";

$hd = "something";
$dd =  $_GET['something'];
$ud = "something";
$pd = "something";

$mysqli = new mysqli($hd, $ud, $pd, $dd); 
if (mysqli_connect_errno()) {
   printf("Connect failed: %s\n", mysqli_connect_error());
   exit();
}

$result = $mysqli->query($sql);
if ($result) {
....
4

3 回答 3

1

如何使用此脚本防止 sql 注入攻击?

和其他的完全一样

于 2013-05-04T16:00:46.037 回答
0

尝试这个:

$hd = "something";
$dd = "PUT SOMETHING HERE";
$ud = "something";
$pd = "something";

$mysqli = new mysqli($hd, $ud, $pd, $dd); 
if (mysqli_connect_errno()) {
   printf("Connect failed: %s\n", mysqli_connect_error());
   exit();
}

$autor = $_GET["multi"];
$autop = $_GET["multis"];
$autor = $mysqli->real_escape_string($autor);
$autop = $mysqli->real_escape_string($autop);

$sql = "UPDATE autoj SET autob = '$autop' WHERE autoq = '$autor'";

另外,在第二行,我看到您使用 $_GET['something'] 来选择数据库。不。

于 2013-05-04T16:02:00.493 回答
-1

使用 mysqli_real_escape_string http://php.net/manual/en/mysqli.real-escape-string.php

于 2013-05-04T16:02:18.827 回答