[請益] 防止SQL Injection

作者adsl9527 (申裝adsl的小為)

看板PHP

標題[請益] 防止SQL Injection

時間Sun Nov 27 15:32:40 2016

本板首PO 觸板規煩請告知請問是否用 ctype_alnum() 來確定參數是否被填入一些特殊符號就可以對 Injection 高枕無憂了呢? 因為不太確定是否能把話說死所以才來請益各位大大的看法謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.0.102 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1480231966.A.94A.html

→ Phedra: Google mysql_real_escape_string() 11/27 15:45

這行沒辦法防以下這串 NULL UNION ALL SELECT 1,2,3,4,group_concat(table_name) FROM information_schema.tables

→ Phedra: Or use PDO with bindParam() 11/27 15:46

→ Phedra: and bindValue() 11/27 15:47

這個好像不錯謝謝大大 ※ 編輯: adsl9527 (1.165.0.102), 11/27/2016 17:43:45

→ xdraculax: 雖然現在 mysql 廢了，不過第一行那並不會沒辦法防 11/27 18:03

→ xdraculax: 上面指的是 mysql_xxxx 0.0 11/27 18:04

→ xdraculax: 它廢掉不是它本身有漏洞，是它需要手工，而非常多人不 11/27 18:09

→ xdraculax: 知道該如何用，用在那，用錯或沒用 11/27 18:09

推 GALINE: 前後加個引號其實算防得到，當然好孩子得記得傳第二個參數 11/27 19:45

→ GALINE: mysql_ 很容易做錯，但很～小心的話是能做對的 11/27 19:46