→ Phedra: Google mysql_real_escape_string() 11/27 15:45
這行沒辦法防以下這串
NULL UNION ALL SELECT 1,2,3,4,group_concat(table_name)
FROM information_schema.tables
→ Phedra: Or use PDO with bindParam() 11/27 15:46
→ Phedra: and bindValue() 11/27 15:47
這個好像不錯 謝謝大大
※ 編輯: adsl9527 (1.165.0.102), 11/27/2016 17:43:45
→ xdraculax: 雖然現在 mysql 廢了,不過第一行那並不會沒辦法防 11/27 18:03
→ xdraculax: 上面指的是 mysql_xxxx 0.0 11/27 18:04
→ xdraculax: 它廢掉不是它本身有漏洞,是它需要手工,而非常多人不 11/27 18:09
→ xdraculax: 知道該如何用,用在那,用錯或沒用 11/27 18:09
推 GALINE: 前後加個引號其實算防得到,當然好孩子得記得傳第二個參數 11/27 19:45
→ GALINE: mysql_ 很容易做錯,但很~小心的話是能做對的 11/27 19:46