脚本宝典收集整理的这篇文章主要介绍了php – 这将如何影响阻止SQL注入的机会?,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
我以前发过这个帖子,但从来没有这方面所以请看一下:
我被告知做sql注射的一种方法是使用1 = 1,其中有人可以看到所有不属于他们的条目.
但是,让我说我构造我的查询,以便它也选择当前用户的user_id,这将工作:
$userid = current users Stored id in database;
$postid = MysqL_real_escaPE_string(@R_304_1415@['id']);
现在让我们假设我输入:domain.COM/page.PHP?id =”OR’1’=’1′
Select article_name From table where user_id=$userid and post_id=$postid
由于我添加了User_id屏障,查询是否仍会返回所有内容或不会返回?
解决方法:
MysqL_real_escape_string()仅用于清理字符串.它不会保护sql注入没有用引号括起来的整数,所以你的观察是正确的:尽管MysqL_real_escape_string(),上面显示的内容确实不安全.
您需要将值包装在引号中:
Select article_name from table where user_id='$userid' and post_id='$postid'
或者在运行查询之前确保$userid和$postid是整数.
以上是脚本宝典为你收集整理的php – 这将如何影响阻止SQL注入的机会?全部内容,希望文章能够帮你解决php – 这将如何影响阻止SQL注入的机会?所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。