[請益] 防止SQL Injection

看板PHP作者 (申裝adsl的小為)時間7年前 (2016/11/27 15:32), 7年前編輯推噓1(108)
留言9則, 3人參與, 最新討論串1/2 (看更多)
本板首PO 觸板規煩請告知 請問是否用 ctype_alnum() 來確定參數是否被填入一些特殊符號 就可以對 Injection 高枕無憂了呢? 因為不太確定是否能把話說死 所以才來請益各位大大的看法 謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.0.102 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1480231966.A.94A.html
11/27 15:45, , 1F
Google mysql_real_escape_string()
11/27 15:45, 1F
這行沒辦法防以下這串 NULL UNION ALL SELECT 1,2,3,4,group_concat(table_name) FROM information_schema.tables
11/27 15:46, , 2F
Or use PDO with bindParam()
11/27 15:46, 2F
11/27 15:47, , 3F
and bindValue()
11/27 15:47, 3F
這個好像不錯 謝謝大大 ※ 編輯: adsl9527 (1.165.0.102), 11/27/2016 17:43:45
11/27 18:03, , 4F
雖然現在 mysql 廢了,不過第一行那並不會沒辦法防
11/27 18:03, 4F
11/27 18:04, , 5F
上面指的是 mysql_xxxx 0.0
11/27 18:04, 5F
11/27 18:09, , 6F
它廢掉不是它本身有漏洞,是它需要手工,而非常多人不
11/27 18:09, 6F
11/27 18:09, , 7F
知道該如何用,用在那,用錯或沒用
11/27 18:09, 7F
11/27 19:45, , 8F
前後加個引號其實算防得到,當然好孩子得記得傳第二個參數
11/27 19:45, 8F
11/27 19:46, , 9F
mysql_ 很容易做錯,但很~小心的話是能做對的
11/27 19:46, 9F
更多 adsl9527 的文章
文章代碼(AID): #1OEemUbA (PHP)
更多 adsl9527 的文章
文章代碼(AID): #1OEemUbA (PHP)