什么是SQL注入攻击?关于如何使用基本实例预防它们的一些提示
我在一个带有MYSQL数据库的PHP项目中工作。 我读过有关SQL注入的内容,但我想有一些基本的例子。 如果发生攻击会发生什么??
我是这个话题的新手。 感谢
3 个答案:
答案 0 :(得分:4)
答案 1 :(得分:4)
基本上,如果你有这样的SQL调用:
"DELETE FROM Users WHERE InputtedName = '$name'"
人们可以在表单上输入:My Name' OR InputtedName != 'My Name
当$ name替换为表单中输入的名称时,这将导致以下SQL调用:
"DELETE FROM Users WHERE InputtedName = 'My Name' OR InputtedName != 'My Name'"
这会删除你桌子上的所有内容!不好!因此,为了防止这种情况,您应该对所有用户输入的数据使用mysql_real_escape_string()函数。
答案 2 :(得分:2)
假设我有一个“用户”表,有人正在我的网站上注册一个帐户。他们输入的用户名为'); drop table Users,这将提前终止我的INSERT语句并导致删除users表。
一个好的经验法则是“清理”您从用户那里收到的任何数据。为此,您需要使用PHP的mysql_real_escape_string(不建议使用)。一个更好的选择是prepared statements,虽然它们更长,但并不总是优雅。
$stmt = $mysqli->prepare('select name from users where id = ?');
$stmt->bind_param($id,'s');
$id = 'some_id';
$stmt->execute();
$stmt->bind_result($name);
$stmt->fetch(); //variable $name now has the value of the first result
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?