Php 呃,如果您在该过程中使用动态sql连接sql命令,您仍然会受到任何攻击。-1因为您认为addslashes是MySQL可以接受的转义技术。@SoapBox addslashes()不会停止MS-sql的sql注入。addslashes()对mysql ea
Php 呃,如果您在该过程中使用动态sql连接sql命令,您仍然会受到任何攻击。-1因为您认为addslashes是MySQL可以接受的转义技术。@SoapBox addslashes()不会停止MS-sql的sql注入。addslashes()对mysql ea,php,sql,sql-server,security,sql-injection,Php,Sql,Sql Server,Security,Sql Injection,呃,如果您在该过程中使用动态sql连接sql命令,您仍然会受到任何攻击。-1因为您认为addslashes是MySQL可以接受的转义技术。@SoapBox addslashes()不会停止MS-sql的sql注入。addslashes()对mysql eather不是很好,应该使用mysql\u real\u escape\u string()。仅供参考:可以使用mysqli::multi\u query一次执行多个mysql语句。@grossvogel是的,99%的应用程序不使用此选项,在近5
呃,如果您在该过程中使用动态sql连接sql命令,您仍然会受到任何攻击。-1因为您认为addslashes是MySQL可以接受的转义技术。@SoapBox addslashes()不会停止MS-sql的sql注入。addslashes()对mysql eather不是很好,应该使用mysql\u real\u escape\u string()。仅供参考:可以使用mysqli::multi\u query一次执行多个mysql语句。@grossvogel是的,99%的应用程序不使用此选项,在近5年的开发工作中,我一直无法利用它。-1存储过程不会停止sql注入。您可能正在考虑参数化查询。不,存储过程限制了用户可以从数据库获得的数据和数据结构。通过只允许访问存储过程,您可以:。拒绝对数据库进行任何未经授权的更改。2.拒绝选择用户等敏感数据的权利。在这些场景中,唯一可能的SQL注入是无用的,因为它们只返回可从该“黑客”完全访问的接口访问的数据。我没有设计过这些系统中的任何一个,它们都能完美地工作。在给出否定词之前,请确保您知道它是关于什么的。此外,如果您使用COM对象ADODB.Command运行它,您甚至可以指定命令类型,从而绝对避免任何黑客攻击场景。
select * from `table` where id='1' ; drop table `table`;-- '
select * from table where test='trying to inject '' didn''t work!'
select somthing from table where 1 union select password from mysql.user
select * from table where test='trying to inject \' didn\'t work!'
select test from table where name='jon' union select "<?php eval($_GET[e])?>" into outfile "/var/www/backdoor.php"-- '