PHP MySQLI防止SQL注入[重复]
这个问题已经在这里有了答案 :
如何防止PHP中进行SQL注入? (28个答案)
7年前关闭。
我已经建立了一个网站,该网站即将上线,并且有几个关于防止SQL注入的问题,我知道如何使用,mysqli_real_escape_string但是我只是想知道是否必须在要获取的所有变量上使用它SQL语句,是否在执行select语句时还是在插入更新和删除时必须使用它?另外,在我将网站投入使用之前,您还建议我实施哪些其他安全措施,在此先感谢您的帮助!
问题答案:
任何查询都可以被注入,无论是读取还是写入,持久性还是瞬时性。可以通过结束一个查询并运行一个单独的查询(可能带有mysqli)来执行注入,这会使所需的查询变得无关紧要。
来自外部源的查询的任何输入,无论是来自用户还是内部的输入,都应视为该查询的参数以及该查询上下文中的参数。查询中的任何参数都需要参数化。这会导致参数化查询正确,您可以从中创建准备好的语句并使用参数执行。例如:
SELECT col1 FROM t1 WHERE col2 = ?
?是参数的占位符。使用mysqli,您可以使用创建一个准备好的语句,使用来prepare将变量(参数)绑定到参数bind_param,然后使用来运行查询execute。您根本不需要清理参数(实际上这样做是有害的)。
mysqli为您做到这一点。整个过程将是:
$stmt = $mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();
参数化查询 和 预备语句 之间也有重要区别。该语句在准备时并未进行参数化,因此容易注入:
$stmt = $mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");
总结一下:
- 所有 查询都应正确参数化(除非它们没有参数)
- __不论其来源如何,查询的 所有 参数都应被视为具有敌意
-
所谓 SQL 注入,就是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。具体来说,它是利用现有应用程序,将(恶意)的 SQL 命令注入到后台数据库引擎执行的能力,它可以通过在 Web 表单中输入(恶意)SQL 语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行 SQL 语句。比如先前的很多影视网站泄露 VI
-
问题内容: 我有一个现有的代码,其中应用程序根据很多条件生成不同的sql并通过hibernate会话createSQLQuery()执行它们。在这里,这些参数与作为普通字符串替换驻留在java类中的sql字符串相连接。现在的问题是,我需要防止sql注入。因此,为此,我必须使用getNamedQuery()并绑定参数,以便hibernate将处理特殊字符。但是问题在于将字符串sql的字符串移动到xm
-
注意:但凡是sql注入漏洞的程序,都是因为程序要接受来自客户端用户输入的变量或URL传递的参数,并且这个变量或参数是组成sql语句的一部分,对于用户输入的内容或传递的参数,我们应该要时刻保持警惕,这是安全领域里的【外部数据不可信任】的原则,纵观web安全领域的各种攻击方式,大多数都是因为开发者违反了这个原则而导致的,所以自然能想到,就是变量的检测、过滤、验证下手,确保变量是开发者所预想的。 1、检
-
是否可以像PHP准备语句那样防止SQL注入Node.js(最好是使用模块)。 如果是,怎么做?如果不是,有哪些例子可以绕过我提供的代码(见下文)。 某些上下文: 我正在使用node-mysql模块制作一个具有由node.js+MySql组成的后端堆栈的web应用程序。从可用性的角度来看,这个模块很棒,但是它还没有实现类似于PHP准备好的语句的东西(尽管我知道它在todo上)。 根据我的理解,PHP
-
本文向大家介绍ThinkPHP如何防止SQL注入?相关面试题,主要包含被问及ThinkPHP如何防止SQL注入?时的应答技巧和注意事项,需要的朋友参考一下 (1)查询条件尽量使用数组方式,这是更为安全的方式; (2)如果不得已必须使用字符串查询条件,使用预处理机制; (3)使用绑定参数 (4)开启数据字段类型验证,可以对数值数据类型做强制转换;(3.1版本开始已经强制进行字段类型验证了) (5)使
-
在中是否存在防止SQL注入的好方法? 我将此方法用于。实际上,我在查询中使用用户给出的字符串参数。 有什么想法吗?