我有一个PHP函数,可以检查我所有的php文件,因此没有一种攻击可以上传任何脚本。 虽然,我的客户的网站太旧了,而且几天前,我还是从服务器收到一条消息,内容是:MYSQL注入并且正在尝试使用该查询。
系统具有PHP版本: 5.2.17 ,并且不建议使用mysql_queries ...尽管系统更新太难了。.
我试图找到一种解决方案并检查以下解决方案:
我不知道这些计数中的任何一个!为了避免进行SQL注入,上述方法是否可行?
此外,我找到了一个很好的解决方案:
使用:PHP的filter_input(..)
攻击是通过$ _GET值进行的,但没有触及数据库。..我看到的查询类似于标识符。
任何建议或帮助将不胜感激!
答案 0 :(得分:0)
mysql_escape__real_string()仅是防止SQL注入本身所需的。 htmlspecialchars()是为了防止XSS攻击。
我想您不能使用任何较新的库或升级PHP。在这种情况下,id建议您使用http://php.net/manual/en/function.override-function.php来实现“安全”的mysql_query,因为它确实很容易忘记转义查询。