OK考慮這個網址:PHP保護
example.com/single.php?id=21424
這是很明顯的你和我的PHP是要採取的ID,並通過MySQL查詢運行它來獲取1條記錄顯示它在頁面上。
反正有些惡意黑客可能會把這個URL搞砸了,並對我的應用程序/ mysql數據庫構成安全威脅嗎?
感謝
OK考慮這個網址:PHP保護
example.com/single.php?id=21424
這是很明顯的你和我的PHP是要採取的ID,並通過MySQL查詢運行它來獲取1條記錄顯示它在頁面上。
反正有些惡意黑客可能會把這個URL搞砸了,並對我的應用程序/ mysql數據庫構成安全威脅嗎?
感謝
當然,永遠不考慮用戶條目(_GET,_POST,_COOKIE,等)是安全的。
使用mysql_real_escape_string PHP函數來淨化你的變量:http://php.net/manual/en/function.mysql-real-escape-string.php
所有依賴於過濾你明確的(與filter_var()
例如)或含蓄地(通過使用準備好的語句)使用。
http://stackoverflow.com/questions/601300/what-is-sql-injection – 2011-02-23 10:21:55
課程。任何人都可以寫他們想要的。 – 2011-02-23 10:38:42
無論安全性如何,暴露數據庫內部標識符也不是一個好的應用程序設計。數據庫中的大多數對象都有一個名稱或標題,如果可行,應該將其作爲URL參數。 – mario 2011-02-23 10:55:38