我在PHP代码中使用mysql_real_escape_string()和Htmlspecialchars()函数,使其对sql-injection和XSS安全。
有没有可能破解这些功能?
如果是,您能描述如何完成它以便我可以改进我的代码。
非常感谢。
答案 0 :(得分:1)
如果您的PHP已更新,请尝试使用mysqli或PDO以及prepared statements
但是要回答你的问题,可以注入YES mysql_real_escape_string(),但这样做非常复杂。这是一个example
答案 1 :(得分:0)
要防止SQL注入,您要做的第一件事是使用PDO和准备好的语句。或至少Mysqli,因为不推荐使用mysql,迁移到mysqli非常容易并且已经过优化
如果你使用mysql_real_escape_strings你应该是安全的,只要你正确地逃脱并且你真正需要的地方,请记住,在大多数情况下,错误是人的一面,而不是因为功能:P