对MySQL有点新,但是,如果我使用HTML,CSS&创建一个页面。 JS我是否需要使用prepeard语句来阻止SQL注入? 或者只有我使用文本输入? 也许我使用文本输入并不重要,因为用户可以在浏览器检查工具使用期间编辑文件以添加一个文件。
如果我使用PHP代替HTML for includes,是否更容易注入Code?
假设我使用Siteground设置了一个站点,在哪里可以找到我需要编辑的文件以防止这个,PHP或MySQL?
或者,如果我编写一些自定义的PHP / MySQL代码来处理数据库中的传入数据,我是否只需要担心这个问题?
或者我问错了问题?
谢谢!
-A
答案 0 :(得分:1)
SQL注入是一种攻击类型,包括用户将恶意代码编写为用户输入,然后将其发布到服务器。如果db服务器执行这样的代码,那么就会发生不好的事情。
防止执行用户输入中提供的恶意SQL相当于转义查询的动态参数。这可以通过PDO或mysqli_real_escape_string完成。
因此,为了确保您不可能进行SQL注入,只需检查执行直接MySQL命令的所有位置,并确保参数被转义。