推 miniear: 謝謝大大提點,今天才看你的pdo教學,這東西我是第一次 11/26 16:13
→ miniear: 聽到...對你來說應該很扯吧,哈哈 11/26 16:13
→ shadowjohn: pdo都出好幾年了...還沒用過就打屁股了 11/26 16:49
推 miniear: 呵呵,我學得都是$result=mysql_query($sql); 不過用這 11/26 17:35
→ miniear: 個有比較差嗎 11/26 17:35
→ mimikillua: 比較不安全 11/26 17:43
推 miniear: 看完t大的sql injection影片就明白了,謝謝~ 11/26 18:43
→ shadowjohn: 標題都5.6->7.0,還在mysql_query…卡稱天try 11/26 20:38
→ shadowjohn: 7.1 11/26 20:38
→ miniear: 我目前都是用5.6啊 7.1是想自己去學的 11/27 00:00
→ crossdunk: ok 你師父連pdo都沒教你 塊陶啊 11/27 10:11
→ newversion: 7.1用mysql_query ,不是殺雞用牛刀,是殺螞蟻用核彈@@ 11/27 18:07
→ xdraculax: 客戶環境很常連5.6都沒有,我是都定在5.3 11/27 19:20
→ tkdmaf: 不是吧?7.1用mysql_query就好比給你核彈……只有殼! 11/27 23:10
推 bakedgrass: 你跟著你師父結果PDO跟Injection都不知道,他就讓你用 11/28 09:20
→ bakedgrass: mysql_query...這師父如果不是不專業就是不盡責 11/28 09:21
→ bakedgrass: 7.1用mysql_query就是你身邊有一堆好用的工具給你殺雞 11/28 09:22
→ bakedgrass: 結果你用一把隨時會彈回來傷到你的小刀在殺 11/28 09:23
→ tkdmaf: 重點是這把小刀還完全不利…… 11/28 11:39
→ newversion: mysql_query injection 隨便Google就一堆了~~ 11/28 12:48
推 st1009: htmlentities($v,ENT_QUOTES,'utf-8'); 11/28 13:03
推 st1009: 如果所有輸入都用上面函式處理過,會不會安全點阿... 11/28 13:04
→ st1009: 因為我把相關函數弄成包了,不知道怎改成PDO...沒時間研讀 11/28 13:05
推 st1009: 其實最大的問題是$row = mysqli_fetch_assoc($result) 11/28 13:30
→ st1009: 我其他地方都是用這樣子的函式去叫,改成PDO,要改很多檔 11/28 13:30
→ st1009: 案的code... 不知道有沒有可能PDO回傳$result,可以這樣叫 11/28 13:31
推 shadowjohn: 有,快去看php manual,然後快去改 11/28 15:23
→ MOONRAKER: 對,快改,反正想辦法用prepared statement 11/28 15:53
推 tsao1211: 現在學php,一定是要學pdo 11/28 17:51
推 st1009: 所以一樣可以用$row = mysqli_fetch_assoc($result)喔?! 11/28 19:41
→ st1009: php manual有寫怎用嘛...我研究研究... 11/28 19:41
→ st1009: 我忽然覺得不該問有沒有可能,應該問怎做 :P 11/28 19:42
→ st1009: 是說htmlentities有任何破綻嘛?我自我測試感覺其實超安全 11/28 19:43
→ jonlee: htmlentities 跟 sql injection 不相干~ :) 11/30 09:51
推 st1009: 有關吧(?htmlentities($v,ENT_QUOTES,'utf-8'); 11/30 14:21
→ st1009: 這樣處理過之後,我這測試injection和XSS都pass 11/30 14:21
→ tkdmaf: 其實對於輸入有filter_input()這個函式可以用。 11/30 17:34
→ tkdmaf: 所以在土砲狀態時我都不使用$_POST來處理 11/30 17:35
→ tkdmaf: 但不管怎麼說,對於任意來源還是用pdo或mysqli來prepare 11/30 17:36
→ tkdmaf: 一定必須要這樣處理,因為這已經是最後一道防線了 11/30 17:37