[英]Will a site login protect a site from SQL Injection?
我有一個安全的登錄網站,然后任何人都可以進入該網站並提交任何表單數據。 從SQL注入是否足夠安全?
沒有!
它使它容易受到攻擊(如果操作不正確,那么在登錄后也會受到攻擊)。
由於黑客可以使用該表格來注入sql。
登錄!= slq注入保護。
正在清理用戶輸入。
使用例如:
mysql_real_escape_string()
mysqli_real_escape_string()
pdo's prepared statements
SQL注入與身份驗證無關。 它與清理用戶輸入的方式有關。 換句話說,具有完全好的憑據的用戶可能有惡意,並決定通過在表單的某些字段中輸入惡意文本來嘗試刪除數據庫。
在PHP上,您可以使用mysql_real_escape_string()
清理您的輸入並通過字符串連接來形成SQL語句,但是如果您可以更好地實現預備語句 (也稱為參數化查詢),因為您的查詢計划可能會被重用,從而提高性能也一樣
如果用戶在登錄表單上使用sql注入,則不會。 登錄表單如何工作。 如果使用選擇進行檢查,那么您仍然需要清除錯誤的SQL等。
用您的術語來說是“ 祖父悖論” ,如果您的登錄確實提供了對sql注入的保護,那么登錄頁面上的用戶就不會登錄。順便說一句,授權/身份驗證和sql注入都是無關的事情,所以您的回答是“ 否” 。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.