MySQL安全检查
晚上好 在我让我的网站上线之前,我显然想确保它的安全(或尽可能的安全) 我有一个搜索表单,一个用户上传条目到数据库的机会,我想就是这样 所以我只想看看我应该做些什么来保护这些东西。首先,我的数据库是由一个专用的用户帐户(不是admin或root)访问的,所以我想我已经锁定了那个部分 其次,在我所有的搜索查询中,我都采用这种格式:MySQL安全检查,mysql,security,Mysql,Security,晚上好 在我让我的网站上线之前,我显然想确保它的安全(或尽可能的安全) 我有一个搜索表单,一个用户上传条目到数据库的机会,我想就是这样 所以我只想看看我应该做些什么来保护这些东西。首先,我的数据库是由一个专用的用户帐户(不是admin或root)访问的,所以我想我已经锁定了那个部分 其次,在我所有的搜索查询中,我都采用这种格式: $result = mysql_query( "SELECT * FROM table WHERE fieldname = '" . mysql_real_escap
$result = mysql_query(
"SELECT *
FROM table
WHERE fieldname = '" . mysql_real_escape_string($country) . "'
AND county = '" . mysql_real_escape_string($county) . "'
ORDER BY unique_id DESC");
$variable = mysql_real_escape_string($variable);
$result = mysql_query(
"INSERT INTO table (columnone)
VALUES ($variable)";
Dan从防止SQL注入的角度来看,您显示的所有内容都很好,除了
$variable = mysql_real_escape_string($variable);
$result = mysql_query(
"INSERT INTO table (columnone)
VALUES ($variable)";
这非常需要在
$variablemysql\u real\u escape\u string$variable = mysql_real_escape_string($variable);
$result = mysql_query(
"INSERT INTO table (columnone)
VALUES ($variable)";
这非常需要在
$variablemysql\u real\u escape\u string除此之外,确保PHP代码用于连接MySQL的任何帐户都具有绝对最小的权限。大多数面向web的脚本不需要alter/drop/create类型权限。大多数人只需要更新/插入/选择/删除,甚至更少。这样,即使您的代码级安全性出现严重问题,恶意用户也无法向您发送
”;drop table students--除此之外,确保PHP代码用于连接MySQL的任何帐户都具有绝对最小的权限。大多数面向web的脚本不需要alter/drop/create类型权限。大多数人只需要更新/插入/选择/删除,甚至更少。这样,即使您的代码级安全性出现严重问题,恶意用户也无法向您发送
”;drop table students--我的理解是,这比使用mysql\u real\u escape\u string要安全得多。您是否考虑过在SQL中使用类似mysql的PDO和绑定参数
我的理解是,这比使用mysql\u real\u escape\u string要安全得多。您已经抵御了一类攻击,即通过表单的SQL注入。在这些代码中,您无需做更多的事情,但这很难保证您的应用程序或服务器的安全。Dan,谢谢。那么,您还建议我看什么呢?您已经抵御了一类攻击,即通过表单的SQL注入。在这些代码中,您无需做更多的事情,但这很难保证您的应用程序或服务器的安全。Dan,谢谢。那么你还建议我看什么呢?假设
columnone$variableintcolumnone$variableint