关于 PHP 防注入的问题

2019-07-30 18:19:24 +08:00
 Hanmo5888
大佬们,关于 php 的防 sql 注入请教个问题
我在用户注册的时候用 mysqli_real_escape_string();过滤了一遍然后写入数据库,然后要读取的时候直接获取不再进行过滤,这么写安全吗
3437 次点击
所在节点    PHP
7 条回复
xiaoz
2019-07-30 19:17:35 +08:00
看读取的时候参数是前端传递还是后端固定的,前端传的话还是再过滤一次吧。
Hanmo5888
2019-07-31 09:50:05 +08:00
@xiaoz 什么意思呢,我读取的时候就直接 mysqli_query + mysqli_fetch_array 然后直接 echo,这样会有问题吗
Hanmo5888
2019-07-31 10:00:51 +08:00
@xiaoz 我理解你的意思了,谢谢大佬
Hanmo5888
2019-07-31 10:20:36 +08:00
@xiaoz 那如果是前端用 POST 传过来的能不能直接$_POST=mysqli_real_escape_string($c,$_POST);
jfcherng
2019-08-01 00:40:00 +08:00
前端想傳什麼是你能控制的?
hongzx
2019-08-06 11:16:36 +08:00
建议使用 mysql 预处理,就可以避免
misskiki
2019-08-08 10:30:22 +08:00
查询的时候 过滤"' and ===="
我写了一个脚本 https://github.com/misskiki/myqiu_waf
你可以直接在你的公共文件引入他可以防止 sql 注入 xss

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/587605

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX