如何保护您的网站免受本地文件包含和SQL注入(PHP)?
发布于 2018-08-31 11:59:25
有许多措施可以采取。在存储到数据库之前,请务必清理所有输入。我建议对将要存储的所有数据使用mysql_real_escape_string()。将字符输入限制为合理的长度,并确保获得该字段期望的数据类型。锁定多次尝试提交特定数据区域。抓取上传文件的内容以查找恶意模式。
Wikibooks有一章关于SQL注入;
这个清单一直在继续。幸运的是,即使在这方面做了一点努力也可以修补大量的漏洞。
发布于 2018-08-31 12:13:32
为了防止SQL注入,我建议使用PDO(http://us3.php.net/pdo)。你需要的扩展等可以阻止采用,但它是好东西。
就个人而言,我使用自制的数据库访问层,我的所有查询都通过这一层实现了一系列的好处,包括 mysql_real_escape_string()
https://stackoverflow.com/questions/-100000711
复制相似问题