首页 > 后端开发 > php教程 > 有没有什么简单地,一劳永逸地防止SQL注入的方法?

有没有什么简单地,一劳永逸地防止SQL注入的方法?

WBOY
发布: 2016-06-23 14:10:54
原创
932 人浏览过

刚才搜了一下,好像都挺复杂的。
我说一下我的想法:
首先不知道MySQL是不是所有类型的数据都可以加上单引号,我刚才试了一下,在整数左右加上单引号好像是没有问题。
如果确实任何类型的数据都可以加单引号的话,那么就在生成MySQL语句的时候为任何数据都加上单引号,然后使用mysql_escape_string将接收到的字符中的所有特殊字符转义。这样就可以将接收到的字符串完全“限制”在单引号之间了。

但是就算这样好像也是不能一劳永逸,因为类似like子句后面的字符串中的转义和正常的字符串好像是不一样的。另外如果AMP中任何一个的更新涉及到转义的话,可能都会出现问题。这两个问题有没有一劳永逸地解决的方法?还有没有其他的问题?

其他的数据库所有类型的数据都可以加单引号么?


回复讨论(解决方案)

php mysql 都有过滤函数 基本上能够让你安心了。

牛牛一直很热心的帮助别人啊

我推荐楼主使用php框架,因为框架有转门的防sql注入机制。
如:thinkphp,yii

没有一劳永逸的方法
虽然目前尚未有已知SQL攻击以外的攻击方法的报到,但并不能说就不会有新方法出现
如果能一劳永逸的话,你就得防范未来了(有点科幻的味道)

php 也曾以为可以替你完成预防SQL攻击的工作
于是做了每次只允许执行一条SQL命令的限制和magic_quotes_gpc自动转义开关
但情况并没有像他们期望的那样,依然有很多php程序员在大谈所谓的SQL攻击
鉴于无法建立信任关系,于是php放弃了自动转义的支持,放宽了SQL指令发送的约束

于是所谓的安全问题就完全落在程序员自己身上了....

来源:php.cn
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板