请问一下大家都是怎么防 MYSQL 注入的。菜鸟我一直纠结这个!

2015-01-07 18:31:44 +08:00
 byc8888

首先肯定要不可信所有外部传入的参数,都得检验!
我常用的有 addslashes mysql_escape_string

但是这两个函数听说不是很可靠。

想请问下大家是用什么方法!

6127 次点击
所在节点    PHP
26 条回复
ijophy
2015-01-08 01:53:02 +08:00
PDO 预处理
JamesRuan
2015-01-08 02:04:32 +08:00
转义,参数化
Sunyanzi
2015-01-08 04:38:45 +08:00
@RIcter Drupal 的那个注入漏洞其实跟 PDO 没关系 ... 分明是构装 SQL 时候的逻辑错误 ...

对于 PDO 的 MySQL Driver 而言 ...

正确使用 prepare / execute 和 PDO::ATTR_EMULATE_PREPARES 就是绝对安全的 ...
vibbow
2015-01-08 06:34:52 +08:00
huigeer
2015-01-08 09:18:44 +08:00
PDO Mysqli, 检测方法 sqlmap
flash866
2015-01-09 15:05:21 +08:00
PDO预处理。但是用了预处理,就无法返回exec后的影响的行数,要返回行数的话,就必须手工转义。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/160068

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX