2回答
一个兄弟姐妹的问题已经被问到。我正在寻找特定于MySQLi扩展的视角。我的问题是,MySQLi准备好的语句</e
浏览 6提问于2015-11-17得票数 1
我读到转义输入不足以防止sql注入。它在执行查询时使用escape和bind (仍然只是转义)。
这是否足够的保障呢?如果不是,我是否应该避免查询类,而手动使用准备好的PDO查询?
浏览 4提问于2018-07-21得票数 0
回答已采纳
我现在正在用PHP5编程,使用PDO,不是使用准备好的语句,而是使用“普通”查询,如下所示: "SELECT FROMLIMIT 1"现在我有两个问题:
如果我想插入什么,这是否足以保护SQL</
浏览 2提问于2014-10-14得票数 0
我目前使用mysql_real_escape_string在查询数据库时对变量进行转义,以防止SQL注入。FROM table2 WHERE keyword='$keyword'");
//code在阅读了有关SQL注入预防的文章后,我读到这还不足以停止SQL注入(现在要检查和纠正的代码
浏览 3提问于2012-07-03得票数 1
回答已采纳
今天,我用acunetix检查了我的脚本,并在我的一个文件中找到了一个“盲SQL注入”。Accunetix消息:
HTTP头输入x-转发-for被设置为1‘和睡眠(2)=’您的脚本应该从用户输入中筛选元字符。有关修复此漏洞的详细信息,请参阅详细信息。
if(isset($_S
浏览 0提问于2013-09-09得票数 2
回答已采纳
我是一个网络安全的前辈,已经对它进行了两天的研究。根据OWSAP的说法,SQL注入和XSS攻击是互联网上最常见的攻击,并且最低限度必须由每个程序员来处理。因此,我所理解的保护他们的方法如下(如果我错了,请您更正或添加):PDO和准备好的语句<
浏览 1提问于2014-01-25得票数 1
我对PDO非常陌生,如果你觉得我在问愚蠢的问题,很抱歉。没有Bind_param的普通和简单的PDO准备语句:$sql->execute(array($name));与Bind_param:
$sql
浏览 1提问于2011-10-27得票数 7
回答已采纳
2回答
我编写了简单的PHP搜索脚本,但我不确定这个解决方案是否足以避免sql注入。
我唯一的输入是搜索查询输入。问题是,当有人提交我的表单时,javascript必须将%字符推送到查询字符串的开头和结尾,还必须用%替换所有空格和特殊字符。之后,使用GET方法将其发送到我的服务器上。使用PDO(execute([$query]),而不是bindParam),并使用下面这样的if语句,检查第
浏览 2提问于2017-03-19得票数 0
回答已采纳
5回答
假设我有这样的代码:$stmt->execute( array(':username' => $_REQUEST['username']) );
不需要引用准备语句的参数;驱动程序将为您处
浏览 9提问于2008-09-25得票数 728
回答已采纳
1回答
我知道PDO提供了更多的驱动程序,如果你改变你的数据库类型的话,这肯定是一个好处。正如在另一篇文章中所说的,PDO没有提供真正的准备好的语句,但是mysqli提供了这样的语句,这样使用MYSQLI会更安全
但这是我的</e
浏览 2提问于2013-05-26得票数 6
回答已采纳
事实上,我做了谷歌,得到了这么多的结果,但我无法理解,因为我是这个领域的新手。实际上,我的代码就是这样的。
浏览 5提问于2014-10-10得票数 0
我阅读了这个问题(),发现在使用PDO和准备语句时,执行( array() )和bindParam()都会阻止SQL注入。但是,我还记得在某个地方读到了execute()自动将每个变量作为字符串处理,而不管它是否为整数。我的问题是,除了字符串变量之外,这肯定是一个安全问题?例如,如果我要通过准备好的查询获得用户的id =1,那么通过execute传递的参数将被视为字符串而不是整数。显然,这个脚本将没
浏览 1提问于2016-08-21得票数 7
回答已采纳
例如,在这段代码中,htmlspecialchar是否阻止XSS,以及PDO准备好的语句是否阻止了SQL注入?
if(isset($_GET['search']) AND !
浏览 1提问于2017-05-13得票数 1
回答已采纳
3回答
PDO准备报表
、、
我能不能尽快得到澄清,只是我正在进行的讨论:$conn->prepare ( 'SELECT * FROM table WHERE id = "' .$_POST['id'] . '"' );
不阻止注入吗?您必须绑定参数或清理值,然后才能将其放入准备语句中?或者我错了,用准备就可以了?
浏览 6提问于2012-02-06得票数 4
3回答
然后我学到了SQL注入,所以我试着学习如何使用准备好的语句。我理解PDO类的准备和执行函数对于防止SQL注入是如何有用的。
是否只有当用户输入被存储到数据库时才需要准备好的语句?仍然使用mysql_num_rows可以吗,因为我并不真的冒着被这个函数入侵的风险吗?还是用预先准备好的语句
浏览 3提问于2014-07-28得票数 16
回答已采纳
PDO在目标系统中不受支持,我正在研究,尽管我在PostGres 8.2+上寻求使用PHP5.1.x来防止注入的解决方案。目前,没有切换到PDO的机会。它讲述了“命名/匿名声明”
,但它不能
浏览 6提问于2012-08-10得票数 4
回答已采纳
当我验证输入时,我将字符(包括引号)转换为它们的HTML实体。在将它们放入数据库时,我使用PDO准备好的语句,并将变量传递给execute方法。谢谢
浏览 1提问于2010-08-30得票数 2
1回答
我使用ADOdb连接到我的MSSQL数据库。我想知道这是否足以防止SQL注入?我正在使用的准备好的查询是: $dsn = "Driver={SQL Server};ServerDatabase=DBNAME;";
浏览 0提问于2011-07-29得票数 4
1回答
有一个pdo包装类,它使用以下命令关闭模拟或准备好的语句:我看到一些sql语句是使用标准的非参数化方法编写的即使使用了pdo包装器,这些类型的语句也可以防止sql注入吗?
浏览 1提问于2013-05-25得票数 1
云服务器
ICP备案
对象存储
实时音视频
云直播
腾讯云开发者
