我刚刚意识到我用来提取mySQL数据并在网站上显示它的php脚本极易受到SQL注入攻击。有哪些做法可以防止这些攻击?
答案 0 :(得分:0)
使用mysqli_real_escape_string来逃避任何事情是你应该做的最少的事情。
您可能还想查看使用预准备语句。
在此处阅读更多内容:http://php.net/manual/en/security.database.sql-injection.php
答案 1 :(得分:0)
您帖子的所有评论都是很好的建议。我个人更喜欢通过PHP's PDO使用准备好的陈述。
您从用户获得的每个参数(无论是直接的还是间接的),您从未明确设置的变量中插入查询的每个值等都应该使用预准备语句插入到查询中。没有例外。更有经验的开发人员可以通过一些例外来逃避,但我建议不要例外。
有关示例,请参阅PHP文档中的PDO::prepare。