Userinput到達敏感片由於不帶引號

Question

我使用的PHP程序RIPS（http://rips-scanner.sourceforge.net/）掃描我的PHP腳本漏洞，它要回來的消息和addslashes（）的不安全使用

Userinput reaches sensitive sink due to insecure usage of addslashes() without quotes Userinput reaches sensitive sink due to insecure usage of addslashes() without quotes 

什麼這是否意味着addslashes的不安全使用？我如何保護下面的代碼？

47: mysql_query $sql = mysql_query("INSERT INTO questions_answers(PID, Name, Email, Question, Date) VALUES ('$product_ID', '$name', '$email', '$question', '$date') ") or mydie ("Error" . mysql_error() . " File: " . __FILE__ . " on line: " . __LINE__); 
4: $product_ID = addslashes($_GET['product_id']); 
38: $name = addslashes(strip_tags($name)); 
34: $name = ucwords($name); 
21: $name = ''; 
5: $name = addslashes($_POST['name']); 
40: $email = addslashes(strip_tags($email)); 
14: $email = ''; 
6: $email = addslashes($_POST['email']); 
39: $question = addslashes(strip_tags($question)); 
35: $question = ucfirst($question); 
7: $question = addslashes($_POST['question']); 
36: $date = time(); 

注意：這是來自RIPS的輸出，請注意應該從下往上讀取它的行數。

Answer 1

addslashes對注射的保護很差。另外，你應該使用mysql_real_escape_string。其實，你也不應該使用它。您應該使用PDO或mysqli正確使用參數化查詢。

Answer 2

嘗試使用mysql_real_escape_string改爲addslashes。

希望這會有所幫助。

歡呼

Answer 3

這是堆棧溢出，這是仍在等待它的勤奮的研究員非常有趣的功能：

沒有人從未讀過的問題身上。

由於問題「西方最快的槍」，一個共同的習慣一直參與中發展，形成這樣一個算法：

1. 閱讀問題的標題。
2. 找到關鍵字在裏面。
3. 搜索您的本地知識庫爲最廣泛的關於此關鍵字的低俗或迷信。
4. 把它們當作答案。
5. 收集聲望點。

具有諷刺意味的是，它的工作原理。大部分時間。
那些詢問，很少打擾最小研究的人，他們的問題都是一樣的。
因此，這種基於關鍵詞的方法很常用。

但是，有時候這裏會出現一個問題，它只需要閱讀不是標題，而是問題主體。
有時懷疑甚至身體含有答案，任何人誰懶得看的錯誤信息：和addslashes的

不安全的使用（）不帶引號

就這麼簡單。 Nuw讓我們看看實際問題：

我該如何確保下面的代碼安全？

使用佔位符。

• 最常見的解決方案是PDO
• 最方便和安全的一個 - safeMysql，這實際上使您可以使用佔位符要添加到查詢動態的一切。