我一直在尋找最有效的清理用戶輸入的方法。我的應用程序是一個簡單的發佈請求,用於驗證用戶。在網上尋找,我可以找到更多的十幾種不同的「最好」的做法。很多這些方法使用不推薦使用的php函數或者看起來過於複雜。爲了連接到我的sql數據庫,我使用了PDO類。PHP PDO清潔用戶輸入
在尋找我自己的功能,我迷迷糊糊翻過這一點:
與綁定參數預處理語句不僅更加輕便,更加方便,不受SQL注入,但往往要快得多比插值查詢執行,因爲服務器和客戶端都可以緩存查詢的編譯形式。
我已經使用的準備方法創建我的發言。這是否意味着我可以安全地防範SQL注入攻擊?還有什麼我應該擔心的?
謝謝xception。目前我正在使用不均勻的鹽漬散列。在計算散列之後,我將鹽添加到它並將其存儲在數據庫中。當用戶進行身份驗證時,我從數據庫中獲取salt並將其與提供的密碼結合使用,以計算身份驗證哈希。爲了防止暴力攻擊,我也放慢了哈希函數。 –
您可以在一段時間內限制失敗的身份驗證嘗試,而半小時內失敗的身份驗證嘗試有10次對任何人都是足夠的,並且會嚴重阻礙任何暴力破解嘗試。 Spor la treaba :) – xception