作者adsl9527 (申裝adsl的小為)
看板PHP
標題[請益] 防止SQL Injection
時間Sun Nov 27 15:32:40 2016
本板首PO 觸板規煩請告知
請問是否用 ctype_alnum() 來確定參數是否被填入一些特殊符號
就可以對 Injection 高枕無憂了呢?
因為不太確定是否能把話說死 所以才來請益各位大大的看法
謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.0.102
※ 文章網址: https://webptt.com/m.aspx?n=bbs/PHP/M.1480231966.A.94A.html
1F:→ Phedra: Google mysql_real_escape_string() 11/27 15:45
這行沒辦法防以下這串
NULL UNION ALL SELECT 1,2,3,4,group_concat(table_name)
FROM information_schema.tables
2F:→ Phedra: Or use PDO with bindParam() 11/27 15:46
3F:→ Phedra: and bindValue() 11/27 15:47
這個好像不錯 謝謝大大
※ 編輯: adsl9527 (1.165.0.102), 11/27/2016 17:43:45
4F:→ xdraculax: 雖然現在 mysql 廢了,不過第一行那並不會沒辦法防 11/27 18:03
5F:→ xdraculax: 上面指的是 mysql_xxxx 0.0 11/27 18:04
6F:→ xdraculax: 它廢掉不是它本身有漏洞,是它需要手工,而非常多人不 11/27 18:09
7F:→ xdraculax: 知道該如何用,用在那,用錯或沒用 11/27 18:09
8F:推 GALINE: 前後加個引號其實算防得到,當然好孩子得記得傳第二個參數 11/27 19:45
9F:→ GALINE: mysql_ 很容易做錯,但很~小心的話是能做對的 11/27 19:46