PHP中该怎样避免SQL注入?

访客5年前关于黑客接单472

问题描述:

假如用户输入的数据在未经处理的情况下刺进到一条SQL查询句子,那么运用将很可能遭受到SQL注入进犯,正如下面的比如:

$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT
			INTO
			`table` (`column`) VALUES ('" . $unsafe_variable .  "')");

由于用户的输入可能是这样的:

value'); DROP
			TABLE
			table;--

那么SQL查询将变成如下:

INSERT
			INTO
			`table` (`column`) VALUES('value');
		DROP
			TABLE
			table;--')

应该采纳哪些有用的办法来避免SQL注入?

更佳答复(来自Theo):

运用预处理句子和参数化查询。预处理句子和参数别离发送到数据库服务器进行解析,参数将会被当作一般字符处理。这种办法使得进犯者无法注入歹意的SQL。 你有两种挑选来完成该办法:

[1] [2] [3]  黑客接单网

相关文章

ARM架构上用来替代JTAG的调试协议SWD-黑客接单平台

关于嵌入式开发人员和专门进犯硬件的黑客来说,JTAG 实践上是调试和拜访微处理器寄存器的标准。该协议已运用多年,至今仍在运用,JTAG调试接口有必要运用VCC、GND电源信号,以及TMS、TCK、TD...

探寻如何绕过WAF的XSS检测机制-黑客接单平台

一、前语 本文提出了一种清晰界说的办法,即通过勘探假定出检测歹意字符串的规矩并编写Payload,来绕过跨站脚本进犯(XSS)的安全防备机制。咱们提出的办法共包含三个阶段:确认Payload结构、勘探...

第六届全国网络安全大赛代码审计全解

 XDCTF是一项面向全国在校大学生的信息安全类竞赛,由西电信息安全协会与网络攻防实训基地联合举行。旨在增强学生对网络常识的爱好,进步学生学习网络技术的积极性,培育学生的立异 认识、协作精力和理论联系...

对DOTNET(.NET)中的歹意长途拜访进程进行剖析(下)

上一篇说到代码会有许多重复,由于它在每个if句子(共有五个if句子,会在下篇讲到)中都会调用一个函数。但是,细节却略有不同,其间给定的办法称号和函数的参数都会显现函数的内容。 第一个if句子在程序会集...

新式鼠标光标绑架进犯将答应进犯者绑架GoogleChrome会话

近期,研究人员发现了一种新式的技能支持欺诈技能,进犯者能够使用这种技能来绑架Google Chrome用户的阅读会话。 想必我们对技能支持欺诈不会感到生疏,微软Windows的技能支持站点便是许多进犯...

Game-of-Thrones-CTF-1靶机彻底攻略

虚拟机地址:https://www.vulnhub.com/entry/game-of-thrones-ctf-1,201/ 这个靶机的难度较高,进程并不是趁热打铁,所以经过了屡次替换网络和IP的进程...