0
夥計們,我是mysql安全新手,當我在google上搜索這個問題時,很多人都警告我們應該檢查mysql字符串以查看它是否包含'否則您有冒險得到mysql數據庫注入,但他們沒有說明爲什麼?你能告訴我原因嗎?非常感謝你。爲什麼包含'的MYSQL字符串不安全?
A
回答
0
想象一下你有一個用戶表和一個登錄表單。通常,當你在用戶登錄要確定他是否有一筆賬:
這是很不好的PHP:
"SELECT * FROM users WHERE username = '$username' AND password = MD5('$password');"
現在你已擁有了用戶
1' 的用戶; DROP TABLE用戶;#
會發生什麼情況?
+0
哦,我的天啊。我現在知道原因!非常感謝你,除了過濾',還有什麼我應該注意的事情嗎?再次感謝你! – 2013-03-18 06:51:39
相關問題
- 1. 什麼字符在查詢字符串中不安全?
- 2. 爲什麼string.empty()在字符串包含值時計算爲true?
- 3. 爲什麼PHP沒有簡單的包含字符串函數?
- 4. 爲什麼我的Regex.Replace字符串包含替換值兩次?
- 5. 爲什麼/ 0/g在包含零的字符串中匹配?
- 6. 爲什麼GLib的GValue系統不包含字符串到數字的轉換?
- 7. 「字符串」不包含定義爲/
- 8. 搜索字符串中包含的mysql字符串
- 9. MySQL - 搜索字符串包含「_」與LIKE
- 10. MySQL搜索其中字符串包含
- 11. MySQL查詢字符串包含
- 12. 爲什麼mysql ceil datetime字符串?
- 13. 字符串包含
- 14. 包含字符串
- 15. 爲什麼我的字符串在iOS應用程序中可能不安全?
- 16. SQL Server 2008:爲什麼BETWEEN不處理包含短劃線( - )的字符串?
- 17. 爲什麼Java的類庫不包含字符串連接方法?
- 18. __caller__爲什麼不安全?
- 19. 這爲什麼不安全?
- 20. 爲什麼Swift Decimal從包含字母的字符串中返回數字?
- 21. 無法打印包含數字和字母'M'的字符串。爲什麼?
- 22. Delphi 2009爲什麼包含Indy 9?使用安全嗎?
- 23. 當字符串包含'{}'字符時不能組合字符串
- 24. 工具字符串轉換爲XML安全的字符串
- 25. 包含字符串的Cookie;
- 26. 的Makefile:包含字符串
- 27. 字符串不變性的安全性
- 28. 爲什麼在系列包含字符串時不能`in`搜索值
- 29. PowerShell的字符串不包含
- 30. 「字符串不包含定義的值」
您需要在將字符串插入mySQL數據庫之前轉義字符串。就這樣。看看它是否包含'''是沒有必要的。有關更多信息,請告訴我們您使用什麼平臺訪問數據庫 - 每種編程語言/數據庫庫都有其轉義數據的方法。 – 2013-03-14 10:56:50
http://xkcd.com/327/ – 2013-03-14 10:57:25
使用一些採用字符串並直接將它們用作批處理的API是很危險的。但是你今天很少使用這樣的API。它完全取決於您的應用程序代碼和庫。 – 2013-03-14 10:58:37