我觉得mysql防注入没有必要啊?最近在研究sql注入防止,都是在转义用户输入的一些特殊字符,我觉得好像没有这个必要啊。 用户登陆,我只允许数字、字母、下划线,如果出现特殊字符我直接提示不对,都不会dql。 你们说对吗? 分享到: ------解决方案--------------------你在客户端限制的还是服务端限制的?------解决方案--------------------那别人还千方百计的防注入干嘛------解决方案-------------------- 引用: 当然,这是我的想法,我不知道有没有什么弊端 楼主最近在看好心作怪?------解决方案--------------------人家多高级的系统,只要想,都能破解。我们只要不让菜鸟们破了就行。其他的听天由命------解决方案--------------------想破坏你的程序的人肯定不会按照正常人那样去用你的页面的,他们能绕过你的输入框,比如直接在地址栏操作,如果你不加防备,一有缺口就能让别人注入。。。------解决方案--------------------我只允许数字、字母、下划线 如果是这样的话,那么确实不存在数据库注入了------解决方案--------------------sql注入不仅仅是输入框 还有地址栏上的传参------解决方案-------------------- 引用: 人家多高级的系统,只要想,都能破解。我们只要不让菜鸟们破了就行。其他的听天由命 基本赞同。------解决方案-------------------- 引用: Quote: 引用: 你在客户端限制的还是服务端限制的? 服务器端啊,php 正则如果发现不是我允许的字符出现,直接提示有特殊字符,不会dql,也不会给这些特殊字符注入的机会, 既然是服务器端验证,只要验证到位,应该没问题了~~~------解决方案--------------------新手路过学习------解决方案--------------------你判断参数时候已经是在做防注入工作了.------解决方案--------------------关注,好多国内开源系统随便注入,但是像drupal就不行了,完全是数据库抽象层,没法注入 ------------------------------------------------------AutoCSDN签名档------------------------------------------------------码农场――码农播种代码、放牧思想的农场! ------解决方案--------------------
