GET参数容易受到SQL注入-PHP
|
我被要求处理另一个程序员设置的站点的安全问题。到目前为止,我还没有看到任何代码,因此我现在不做任何假设,而是希望涵盖基础知识。该站点的托管组进行了安全检查,发现他们的代码容易受到SQL注入的攻击。
示例:www.example.com/code.php?pid=2&ID=35(GET参数ID容易受到SQL注入的攻击)
现在,因为我是新手,所以我已经解释说我可以通过主机解决问题,但是仍然需要由对安全性有更深入了解的人员来查看其站点。
因此,为了照顾潜在的SQL注入(并且无需查看代码),我将使用mysql_real_escape_string:
$query = sprintf(\"SELECT * FROM table WHERE pid=\'%s\' AND ID=\'%s\'\",
mysql_real_escape_string($pid),
mysql_real_escape_string($id));
另外,我会考虑mysqli_real_escape_string和准备好的语句,但是我不知道它们是如何配置的。但是mysql_real_escape_string是否可以处理潜在的SQL注入?
没有找到相关结果
已邀请:
5 个回复
佃蒜狗掂哥
内容并使用PDO。
篮肥炼皖
物崎巩
抵浮细
禽兢玫坞劲