mysql_real_escape_string對Anti SQL注入是否足夠?
[英]Is mysql_real_escape_string enough to Anti SQL Injection?
問題描述
在PHP手冊中,有一個注釋:
注意:如果此函數不用於轉義數據,則查詢容易受到SQL注入攻擊。
這足以反sql注入嗎? 如果沒有,你能舉一個例子和一個很好的解決方案來反sql注入嗎?
3 個解決方案
解決方案1
7 已采納 2010-11-13 05:31:21
mysql_real_escape_string通常足以避免SQL注入。 這確實取決於它是無bug的,即它有一些很小的未知機會它是脆弱的(但這還沒有在現實世界中表現出來)。 在概念級別上完全排除SQL注入的更好的替代方法是准備語句 。 這兩種方法完全取決於你正確應用它們; 也就是說,無論如何你都不會保護你。
解決方案2
0 2010-11-13 05:28:24
據我所知,這是避免SQL注入攻擊的可靠方法。
解決方案3
0 2010-11-13 05:30:48
最好的解決方案是PDO 。
如果您正在使用傳統的mysql_query那么通過mysql_real_escape_string()運行所有數據就足夠了。
mysql_real_escape_string是否足以防止HTML注入?
[英]Is mysql_real_escape_string enough for preventing HTML injection?
避免使用mysql_real_escape_string和stripslashes進行SQL注入
[英]Avoiding SQL injection using mysql_real_escape_string and stripslashes
在哪里使用mysql_real_escape_string來阻止SQL注入?
[英]Where to use mysql_real_escape_string to prevent SQL Injection?
mysql_real_escape_string:僅用於數據庫安全就足夠了嗎?
[英]mysql_real_escape_string : Is it enough for database security alone?
mysql_real_escape_string是否足以用於非常簡單的數據庫插入?
[英]Is mysql_real_escape_string enough for very simple database inserts?
mysql_real_escape_string和html_special_chars夠了嗎?
[英]mysql_real_escape_string and html_special_chars enough?
我應該使用PDO清理Sql查詢還是“ mysql_real_escape_string”足夠?
[英]Should I use PDO to sanitize my Sql queries or is “mysql_real_escape_string” enough?
mysql_real_escape_string()是否完全防止SQL注入?
[英]Does mysql_real_escape_string() FULLY protect against SQL injection?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
SQL注入mysql_real_escape_string
mysql_real_escape_string是否足以防止HTML注入?
繞過 mysql_real_escape_string() 的 SQL 注入
避免使用mysql_real_escape_string和stripslashes進行SQL注入
在哪里使用mysql_real_escape_string來阻止SQL注入?
mysql_real_escape_string:僅用於數據庫安全就足夠了嗎?
mysql_real_escape_string是否足以用於非常簡單的數據庫插入?
mysql_real_escape_string和html_special_chars夠了嗎?
我應該使用PDO清理Sql查詢還是“ mysql_real_escape_string”足夠?
mysql_real_escape_string()是否完全防止SQL注入?
相關標簽