登录 注册
开源问答
开源问答 技术问答
正文

PHP & MySQL 防注入

OSC老司机 发布于 2012/11/01 23:57
阅读 3K+
收藏 2
答案 9
PHP MySQL

PHP & MySQL 开发WEB应用如防止 SQL注入

使用魔术引用可以吗? pdo 中好像每次只能运行一条SQL语句,

mysql_query 如何实现每次仅运行一条SQL语句

@蟋蟀哥哥

收藏 (2)
举报
加载中
最多投票 最新
0
蟋蟀哥哥
蟋蟀哥哥
2012/11/02 14:38  Android
使用框架吧…不要直接写sql..或者使用别人的sql安全类
评论 (2) 引用此答案 举报
蟋蟀哥哥
蟋蟀哥哥
2012/11/02 18:14
安全是一个整体的..除了过滤,项目上线之后还需要屏蔽错误信息等等...sql注入过滤还是比较好解决的..你自己已经知道了..上线之后再测试就好.
回复 举报
OSC老司机
OSC老司机
2012/11/02 16:16
哥哥的意思是分别创建CURD操作函数,再由函数生成Sql语句。 再加上魔术引用应该可以防止注入了吧
回复 举报
0
mark35
mark35
2012/11/02 16:46
用PDO的prepare/execute可彻底防止注入(除非PDO::prepare代码实现本身有漏洞)
评论 (2) 引用此答案 举报
mark35
mark35
2012/11/05 10:53
回复 @老朽 : 目前没发现有
回复 举报
OSC老司机
OSC老司机
2012/11/02 18:06
那 PDO::prepare 有没有漏洞呢?
回复 举报
0
宏哥
宏哥
2012/11/02 19:16

引用来自“mark35”的答案

用PDO的prepare/execute可彻底防止注入(除非PDO::prepare代码实现本身有漏洞)
XSS除了SQL注入, 你上次说了还有一种变量注入, 是如何操作的?
评论 (0) 引用此答案 举报
0
FoxHu
FoxHu
2012/11/02 22:04
@老朽 参考此文 php中防止SQL注入的最好方法是什么? http://blog.csdn.net/hil2000/article/details/8039405
评论 (0) 引用此答案 举报
0
Jiazz
Jiazz
2012/11/03 00:34
过滤和转义之外  还有其他的注意的???
评论 (0) 引用此答案 举报
0
mark35
mark35
2012/11/05 10:57

引用来自“宏哥”的答案

引用来自“mark35”的答案

用PDO的prepare/execute可彻底防止注入(除非PDO::prepare代码实现本身有漏洞)
XSS除了SQL注入, 你上次说了还有一种变量注入, 是如何操作的?

记不清了。是不是类似于一句话木马直接生成SQL:

如果程序对GET提交的变量未作处理直接使用就会导致注入,通过构造url值来执行特定命令

比如这个 http://blog.i1728.com/post/PHP_shell_backdoor.html

这个 http://happysoul.iteye.com/blog/1511790

评论 (0) 引用此答案 举报
0
宏哥
宏哥
2012/11/05 11:03

引用来自“mark35”的答案

引用来自“宏哥”的答案

引用来自“mark35”的答案

用PDO的prepare/execute可彻底防止注入(除非PDO::prepare代码实现本身有漏洞)
XSS除了SQL注入, 你上次说了还有一种变量注入, 是如何操作的?

记不清了。是不是类似于一句话木马直接生成SQL:

如果程序对GET提交的变量未作处理直接使用就会导致注入,通过构造url值来执行特定命令

比如这个 http://blog.i1728.com/post/PHP_shell_backdoor.html

这个 http://happysoul.iteye.com/blog/1511790

我仔细看了, 这个需要有前提, 就是要能把代码放置服务器

相当于是木马

阻止了放木马的方法, 也就阻止了木马.

SQL Injection算是漏洞

评论 (4) 引用此答案 举报
mark35
mark35
2012/11/05 20:16
回复 @宏哥 : 单一入口方便对提交的变量进行统一处理。若有空可以参考下discuz的处理方式:首先对GET, POST, REQUEST三个超全局变量进行过滤整理
回复 举报
宏哥
宏哥
2012/11/05 14:30
回复 @mark35 : 可不可以这么说, 我是将所有php请求定向到一个index.php上, 这样意味着, 这种风险非常小?
回复 举报
宏哥
宏哥
2012/11/05 13:31
回复 @mark35 : 明白了, PHP的文件上传,存在隐患.
回复 举报
mark35
mark35
2012/11/05 12:57
不一定需要先保存木马文件
回复 举报
0
齐迹
齐迹
2012/11/05 14:10

sql注入无处不在

看看这篇文章或许有帮助

http://code.alibabatech.com/wiki/display/Druid/WallFilter

评论 (0) 引用此答案 举报
0
月影又无痕
月影又无痕
2013/06/21 18:03
PDO prepare 参数化查询,可从根本上杜绝SQL注入问题
评论 (0) 引用此答案 举报
OSC老司机
OSC老司机
最近登录:2022/08/06 17:21
全部

OSC老司机的其他提问

【求助】centos7系统,同机房两台vps已分配内网IP如何配置走内网?
2 回答
527 阅读
【实用派】如何防范Python爬虫,被采集时如何投毒让对方心碎
2 回答
918 阅读
VPS第一天就被跑了250GB流量 CentOS、iftop监控、【iptables无效】这个 memcache 是什么鬼?
10 回答 (已采纳)
6K+ 阅读
[已解决] 求助 apache 图片地址的跳转功能或者叫转发
3 回答
396 阅读
【LAMP求助】centos mysql 乱码,搞半天不好怎么办?
10 回答
246 阅读
OSCHINA
登录后可查看更多优质内容
使用微信快捷登录
返回顶部
顶部