mysql_real_escape_string
用於SQL語句。僅僅是數據庫安全就足夠了嗎?例如,使用get_magic_quotes_gpc(),我們使用stripslashes。是否有任何問題需要我們通過mysql_real_escape_string使用其他函數? 在此先感謝mysql_real_escape_string:僅僅是數據庫安全就足夠了嗎?
回答
如果你想擁有一個更安全的數據庫,只需轉義字符串是不夠的。這對於SQL注入攻擊肯定會有所幫助,但還有許多其他方法可以危害數據庫。
一些指針:在
- 實踐「最小特權」被授予訪問到你的數據庫應該有最小權限來完成他們的任務,並沒有其他的用戶和帳戶。
- 確保您的密碼難以猜測(由低位和高位字母,數字,符號等組成)並定期更改。
- 除非絕對必要(假設您正在運行商業網站),否則不要保存信用卡號碼。
- 哈希和鹽可能您的密碼,將它們存儲在你的數據庫之前,如果你有用戶帳戶
- 檢查,重複檢查端口號(3306爲MySQL)和權限上的文件和目錄,尤其是當用戶上傳文件
這些通常是很好的做法,您應該意識到SQL注入攻擊範圍之外的數據庫問題。
@SHC;這是否意味着我們在php中只有50%-60%的安全性? – TheNone 2010-06-26 08:57:07
關於SQL注入攻擊,逃脫本身將無濟於事 – 2010-06-26 09:26:40
得到任何「最小特權」實踐的真實生活的例子? – 2010-06-26 09:29:26
不是真的。 SQL語句不同。對於其中的一些而言,這有助於其他人,而不是。
希望它可以給你完整的圖片,但我們歡迎您要問,如果事情還不清楚。
請注意,get_magic_quotes_gpc()和stripslashes不是數據庫問題。這只是輸入數據驗證的東西,它有沒有關係SQL
1)關閉magic_quotes_gpc的
2)是否足夠與mysql_real_escape_string()
- 1. AJP足夠安全嗎?
- 2. PHP:filter_var安全性足夠安全嗎?
- 3. 測試iPhone應用程序時,僅使用Leaks儀器就足夠了嗎?
- 4. 當你做單元測試時,僅僅實例化其他域對象就足夠了嗎?
- 5. Gmail是否足夠安全?
- 6. 這是否足夠安全?
- 7. 此登錄系統足夠安全嗎?
- 8. 用jQuery將數據發佈到ASP.net,我足夠安全嗎?
- 9. MVC設計中的模型僅僅是一個數據庫嗎?
- 10. php-login.net足夠小安全
- 11. 這些安全功能是否足夠?
- 12. Erlang是否通過cookie足夠安全?
- 13. 這是足夠安全的,對散列
- 14. GEF4足夠成熟了嗎?
- 15. 僅UINavigationController是全屏嗎?
- 16. 如果我想對文件做ls就足夠了嗎?
- 17. 在ItemsSource中設置綁定模式就足夠了嗎?
- 18. 如何安全地統計會話:Session_Start/End in Global.Asax安全/足夠安全嗎?
- 19. Oracle數據庫安全 - 僅插入特定值
- 20. mysql_real_escape_string()對十六進制編碼數據不安全嗎?
- 21. CodeIgniter的Active Record類僅僅是一個數據庫抽象層嗎?
- 22. Linq to SQL數據併發性 - 僅使用PK是否安全?
- 23. Windows上的Maven,Git Bash就夠了嗎?
- 24. 這對於CSRF保護足夠了嗎?
- 25. 僅僅爲要分類的類實現__lt__是否安全?
- 26. 服務定位符不僅僅是全局變量/狀態嗎?
- 27. 爲什麼僅僅改變這個數據結構中的nextNode是不夠的?
- 28. 表單身份驗證票證足夠安全嗎?
- 29. URL授權在ASP.NET中足夠安全嗎?
- 30. 這個小Doctrine2動態SQL足夠安全的注入嗎?
你懶惰的按鈕拒絕點擊鏈接:)希望同樣的文字copypasted在盤子上。要儘自己的煩惱,雖然 – 2010-06-26 09:28:31
我已編輯Col :) – TheNone 2010-06-26 09:44:25