如何保护您的网站免受PHP中的本地文件包含和SQL注入?

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (2)
  • 关注 (0)
  • 查看 (66)

如何保护您的网站免受本地文件包含和SQL注入(PHP)?

提问于
用户回答回答于

为了防止SQL注入,我建议使用PDO(http://us3.php.net/pdo)。你需要的扩展等可以阻止采用,但它是好东西。

就个人而言,我使用自制的数据库访问层,我的所有查询都通过这一层实现了一系列的好处,包括 mysql_real_escape_string()

用户回答回答于

有许多措施可以采取。在存储到数据库之前,请务必清理所有输入。我建议对将要存储的所有数据使用mysql_real_escape_string()。将字符输入限制为合理的长度,并确保获得该字段期望的数据类型。锁定多次尝试提交特定数据区域。抓取上传文件的内容以查找恶意模式。

Wikibooks有一章关于SQL注入;

这个清单一直在继续。幸运的是,即使在这方面做了一点努力也可以修补大量的漏洞。

扫码关注云+社区

领取腾讯云代金券