mysql_real_escape_string是否足以进行反SQL注入?
在PHP手册中,有一条注释:
注意:如果不使用此功能对数据进行转义,则该查询容易受到SQL注入攻击的攻击。
这足以进行反SQL注入吗?如果没有,您能举个例子和一个好的反SQL注入解决方案吗?
问题答案:
mysql_real_escape_string通常足以避免SQL注入。不过,这确实取决于它是否没有错误,即它 存在
脆弱性的可能性很小(但是这还没有在现实世界中体现出来)。准备好的语句是在概念上完全排除SQL注入的更好的替代方法。这两种方法完全取决于您正确应用它们。即,如果您只是将其弄乱,它们都不会保护您。
-
问题内容: 在http://www.justinshattuck.com/2007/01/18/mysql-injection-cheat- sheet/?akst_action=share- this上 ,有一节声称您可以使用某些亚洲字符编码绕过mysql_real_escape_string 用BIG5或GBK绕过mysql_real_escape_string() “注入线” に关する追加情
-
问题内容: mysql_real_rescape_string()是否足以保护我免受黑客和SQL攻击?问问是因为我听说这些方法不能帮助您抵御所有攻击媒介?寻求专家的建议。 编辑:此外,怎么样的SQL攻击? 问题答案: @查尔斯是非常正确的! 您面临多种 已知 SQL攻击的风险,包括您提到的 SQL注入:是的!Mysql_Escape_String可能仍然使您容易受到SQL注入的影响,具体取决于您在
-
问题内容: 这是我的代码: 有人可以告诉我它是否安全或是否容易受到SQL Injection攻击或其他SQL攻击吗? 问题答案: 有人可以告诉我它是否安全或是否容易受到SQL Injection攻击或其他SQL攻击吗? 正如uri2x所说的,请参阅SQL注入。 防止SQL注入的最佳方法是使用准备好的语句。它们将数据(您的参数)与指令(SQL查询字符串)分开,并且不会为数据留下任何空间污染查询的结构
-
这是我的代码: 有人可以告诉我它是否安全,或者它是否容易受到SQL注入攻击或其他SQL攻击吗?
-
问题内容: 即使使用函数,是否存在SQL注入的可能性? 考虑这种示例情况。SQL是用PHP构造的,如下所示: 我听到很多人对我说,这样的代码仍然很危险,即使使用了函数也可能被黑。但是我想不出任何可能的利用方式? 像这样的经典注射: 不工作。 您是否知道上面的PHP代码会进行任何可能的注入? 问题答案: 考虑以下查询: 不会保护您免受此侵害。 您可以在查询中的变量周围使用单引号()来防止这种情况。以
-
问题内容: 即使在使用函数时,也有可能注入SQL吗? 考虑此示例情况。SQL是用PHP构造的,如下所示: 我听到很多人对我说,这样的代码仍然很危险,即使使用了函数也可能被黑。但是我想不出任何可能的利用方式? 像这样的经典注射: 不工作。 您是否知道上面的PHP代码会进行任何可能的注入? 问题答案: 考虑以下查询: 不会保护您免受此侵害。 在查询中的变量周围 使用单引号()的事实可以防止这种情况的发