我正在编写社交辩论应用程序,我担心准备好的声明的安全性。为什么这么烦我?因为社交网络需要大量用户数据,有些可能是恶意的。
我只是想知道MySQLi准备好的语句是否足以保护最常见的SQL注入类型。这可能是在网络上的某个地方被问到的,但是,由于网络上有大量过时的信息,很难知道是否有任何关于它的信息。
例如,我已经听说过有关PDO的各种攻击,但有些网站表示没有任何漏洞利用。这就是混乱的来源。我知道每天都会发现很多漏洞。但至少要保护免受最流行的攻击。</ p>并且,如果有任何其他方法可以保护SQL查询,请在答案中指出它们。
答案 0 :(得分:2)
预备语句是防止MySQL注入的好方法。但是XSS攻击呢?这些查询不会阻止用户提交HTML或JavaScript代码。如果您不采取其他步骤,他们只会更改您的HTML代码(如果您输出原始数据库结果)并注入指向不需要的网站的链接。
关于准备好的陈述:
预备语句可防止任何输入将其作用域作为变量。这就是说每一个“结束语”等都会被逃脱并变得无害。
SQL注入几乎是不可能的。但是......谁说,本土准备好的陈述就足够了?如果您相信您的原生准备方法。好。如果没有,请尝试自己打破它。将测试用例写成证明,最基本的,也许是一些更复杂的案例不能破坏你的准备语句方法。