作者adsl9527 (申装adsl的小为)
看板PHP
标题[请益] 防止SQL Injection
时间Sun Nov 27 15:32:40 2016
本板首PO 触板规烦请告知
请问是否用 ctype_alnum() 来确定参数是否被填入一些特殊符号
就可以对 Injection 高枕无忧了呢?
因为不太确定是否能把话说死 所以才来请益各位大大的看法
谢谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.165.0.102
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1480231966.A.94A.html
1F:→ Phedra: Google mysql_real_escape_string() 11/27 15:45
这行没办法防以下这串
NULL UNION ALL SELECT 1,2,3,4,group_concat(table_name)
FROM information_schema.tables
2F:→ Phedra: Or use PDO with bindParam() 11/27 15:46
3F:→ Phedra: and bindValue() 11/27 15:47
这个好像不错 谢谢大大
※ 编辑: adsl9527 (1.165.0.102), 11/27/2016 17:43:45
4F:→ xdraculax: 虽然现在 mysql 废了,不过第一行那并不会没办法防 11/27 18:03
5F:→ xdraculax: 上面指的是 mysql_xxxx 0.0 11/27 18:04
6F:→ xdraculax: 它废掉不是它本身有漏洞,是它需要手工,而非常多人不 11/27 18:09
7F:→ xdraculax: 知道该如何用,用在那,用错或没用 11/27 18:09
8F:推 GALINE: 前後加个引号其实算防得到,当然好孩子得记得传第二个参数 11/27 19:45
9F:→ GALINE: mysql_ 很容易做错,但很~小心的话是能做对的 11/27 19:46