已解決430363個問題，去搜搜看，總會有你想問的

mysql_real_escape_string（）和mysql_escape_是否足以確保應用安全

關注

首頁猿問 mysql_real_escape...

MySQL PHP 安全

烙印99 2019-10-31 13:07:11

mysql_real_rescape_string（）是否足以保護我免受黑客和SQL攻擊？問問是因為我聽說這些方法不能幫助您抵御所有攻擊媒介？尋求專家的建議。編輯：此外，怎么樣的SQL攻擊？

查看完整描述

3 回答

侃侃無極

TA貢獻2051條經驗獲得超10個贊

我個人更喜歡準備好的陳述：

<?php

$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");

if ($stmt->execute(array($_GET['name']))) {

while ($row = $stmt->fetch()) {

print_r($row);

}

忽略使用其中一個*escape_string()功能時遺漏的一個或另一個特定變量是很容易的，但是如果所有查詢都是準備好的語句，那么它們都很好，并且插值變量的使用會像拇指一樣突出。

但是，這還遠遠不足以確保您不會受到遠程攻擊：如果您通過&admin=1with GET或POST要求表明某人是管理員，則您的每個用戶都可以在兩到三秒鐘內輕松升級其特權。努力。請注意，這個問題并不總是那么明顯：)，但這是一種簡單的方式來解釋過多信任用戶提供的輸入的后果。

反對回復 2019-10-31

關注

舉報

0/150

提交

取消