SQL 注入是否会在 POST 和 GET 请求之外发生?
SQL 注入会利用 Web 应用程序中的漏洞,这些漏洞在将用户输入合并到之前未充分净化用户输入SQL 查询。虽然 POST 和 GET 方法是这种攻击的常见途径,但 SQL 注入也可以通过其他方式发生。
在提供的代码中,采用 mysql_real_escape_string 对用户输入进行编码,从而降低 SQL 注入的风险。然而,代码的安全性在很大程度上依赖于这种编码的一致应用。
检查示例代码
1. POST 方法
代码示例使用用户输入初始化变量:
$name = trim($_POST['username']); $mail = trim($_POST['email']); $password = trim($_POST['password ']);
在将用户信息存储到数据库之前,对其进行了充分编码:
$sql = "INSERT INTO clients SET name='" . mysql_real_escape_string($name) . "', mail='" . mysql_real_escape_string($mail) . "', password='" . mysql_real_escape_string(sha1($password)) . "'";
2。 GET 方法
从 URL 初始化变量:
$videoID = trim($_GET['videoID']); $userID = trim($_GET['userID']);
SQL 查询再次采用适当的编码:
$sql = "SELECT videoID FROM likes WHERE videoID = '" . mysql_real_escape_string($videoID) . "' AND UID = '" . mysql_real_escape_string($userID) . "' LIMIT 1";
结论
您提供的代码不存在SQL注入漏洞,感谢一致使用 mysql_real_escape_string 对用户输入进行编码。必须注意的是,无论其来源如何,都必须明智地对所有用户输入应用编码。为了进一步增强安全性,请考虑采用更现代的方法,将 PDO 与准备好的语句结合使用。
以上是SQL 注入可以超越 POST 和 GET 请求吗?的详细内容。更多信息请关注PHP中文网其他相关文章!
