[請益] 使用MySQL除了注意這些之外…
我們在使用MySQL時都會注意SQL Injection和防止網頁代碼注入
也就是會使用addslashes和htmlspecialchars函數
在使用MySQL時除了要注意這兩點之外
還有沒有其他需要注意的?
另外,
在寫上傳檔案的PHP程式時,
有時候為了防止使用者上傳PHP檔以攻擊伺服器內部而會阻止以「.php」為副檔名的檔案
除此之外,是否還有其他須注意的地方?
謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.136.121.238
※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1509689691.A.10C.html
※ 編輯: red0whale (220.136.121.238), 11/03/2017 14:16:30
→
11/03 15:23,
7年前
, 1F
11/03 15:23, 1F
→
11/03 15:24,
7年前
, 2F
11/03 15:24, 2F
→
11/03 15:24,
7年前
, 3F
11/03 15:24, 3F
→
11/03 15:25,
7年前
, 4F
11/03 15:25, 4F
→
11/03 15:26,
7年前
, 5F
11/03 15:26, 5F
→
11/03 15:26,
7年前
, 6F
11/03 15:26, 6F
推
11/03 15:36,
7年前
, 7F
11/03 15:36, 7F
冒昧請教一下,
為什麼addslashes對SQL Injection無效?
如果我的PHP變數都嵌入在SQL語法的字串型態當中,
也就是像這樣:
$str="SELECT aaa,bbb FROM tableName WHERE aaa='".addslashes($a)."' AND bbb='".
addslashes($b)."'";
亦即 addslashes只用在SQL語法字串型態裡頭 (兩個單引號「'」之間)
那這樣是否可以使用addslashes?
另外,怎麼說addslashes對防止老手駭客無效呢?
謝謝
→
11/03 15:36,
7年前
, 8F
11/03 15:36, 8F
→
11/03 15:37,
7年前
, 9F
11/03 15:37, 9F
→
11/03 15:37,
7年前
, 10F
11/03 15:37, 10F
→
11/03 15:38,
7年前
, 11F
11/03 15:38, 11F
推
11/03 16:22,
7年前
, 12F
11/03 16:22, 12F
※ 編輯: red0whale (110.28.136.18), 11/03/2017 18:45:41
推
11/03 21:23,
7年前
, 13F
11/03 21:23, 13F
→
11/03 21:23,
7年前
, 14F
11/03 21:23, 14F
→
11/03 21:23,
7年前
, 15F
11/03 21:23, 15F
推
11/03 21:25,
7年前
, 16F
11/03 21:25, 16F
推
11/03 22:30,
7年前
, 17F
11/03 22:30, 17F
推
11/04 12:48,
7年前
, 18F
11/04 12:48, 18F
→
11/06 00:59,
7年前
, 19F
11/06 00:59, 19F
推
11/06 08:43,
7年前
, 20F
11/06 08:43, 20F
→
11/06 14:54,
7年前
, 21F
11/06 14:54, 21F
推
11/06 22:46,
7年前
, 22F
11/06 22:46, 22F
→
11/08 17:05,
7年前
, 23F
11/08 17:05, 23F
討論串 (同標題文章)
以下文章回應了本文:
完整討論串 (本文為第 1 之 2 篇):
PHP 近期熱門文章
PTT數位生活區 即時熱門文章
