是否可以完全免疫SQL注入?

时间:2012-01-05 00:37:54

标签: php mysql

此外,还有更多方法可以打入网站吗?如果是这样,你能完全免疫吗?

感谢。

2 个答案:

答案 0 :(得分:3)

我认为回答问题这么模糊的唯一安全方法就是说不!你无法免疫,因为总有办法,即使你必须是Ethan Hunt想出来的。

即使您不能受到注入的影响,您也无法通过其他方式来攻击数据库 - 因为您没有排除主机管理员,腐败人员,mysql管理员的标准链接和猜测密码等内容。

你可能是偏执狂,并且尽可能安全地通过所有绳索,但如果有奇怪的事情,你可以恢复良好的备份和日志。当然,随着网站规模的扩大,这种缺乏声明的声明会失去其价值。但是对于每天的人 - 至少是他提出这类问题的那个人 - 你可能对基本条款很安全。大多数框架都有输入转义以帮助防止不良,但它只是到目前为止。

在你知道如何自己回答这个问题之前,不要进入银行软件。

答案 1 :(得分:1)

你的问题不清楚,但现在就说了:

完全可以完全免疫SQL注入吗? 当然,从某种意义上说,“Hello World”应用程序可以完全免受这种攻击。通常,您对用户输入,动态内容等的机会越多,可能漏洞的可能性就越大。但是,像Yii这样的许多现代PHP框架通过一些内置的验证程序模板等更容易避免此类攻击。它有点像是否可以避免所有枪击攻击?当然,呆在室内,把自己锁在黑暗,恐慌的房间里。但是一个知情的人一般可以避免枪击,远离阴暗的社区,不要引起人们的注意等。

编辑:那里有一个更好的类比,我敢肯定。