PHP sql安全性

我在变量上使用mysql\u real\u escape\u string（），但在查看日志时，我注意到有人输入了如下内容：

${@print(md5(acunetix_wvs_security_test))}

1\" or (sleep(4)+1) limit 1 -- 

等等。他们有一大堆

他只是在尝试，什么都没发生吗？或者我的代码仅仅使用mysql\u real\u escape\u string（）是不安全的

---

编辑：我看不到任何损坏，但网站上的大多数输入区域都已尝试过多次。如果它一次都不工作，他就不会停止，意识到它是安全的吗？

如果你一直使用mysql\u real\u escape\u string，你应该可以安全地防止SQL注入

---

请注意，

mysql\u query

将在将来使用，您不应该再使用它。

似乎有人正在使用acunetix尊者扫描仪扫描您的网站。您能看到数据库数据中的任何更改吗？。如果是的话，他是成功的

这个工具非常强大，专为寻找脚本上的漏洞而设计

仅仅依靠mysql\u real\u escape\u string（）搜索并重新构建站点是不够的。入侵脚本的方法有很多，不仅仅是mysql注入

---

阅读有关PHP和MYSQL安全性的更多信息。

这些条目来自Acunetix Web漏洞扫描（有关更多详细信息，请参阅）

简而言之，这只是一个机器人，它在你的站点上运行，并测试已知的安全问题。至于你的问题，他只是在尝试。即使你的网站是脆弱的，扫描器也不会试图破坏任何东西，只是向测试人员报告漏洞

也许稍后再检查日志是个好主意，因为自动扫描可能是某人的自动信息收集，然后他试图用从自动扫描中获得的信息手动攻击您的站点。但我不知道你的应用程序有多重要

编辑：

---

不，扫描仪不会停止。这些扫描器不是很智能，也不尝试从以前的结果中学习。他们只处理定义的攻击列表，并在他们能找到的每个输入/参数上尝试它们。

注意，

mysql\u real\u escape\u string

应该只用于正确转义mysql字符串中使用的字符串。我看不到任何损坏，但站点上的大多数输入区域都被多次尝试过。如果它一次都不工作，他就不会停止，因为他意识到它是安全的吗？@user1022585您的站点可能会受到很多攻击，而且可能不止一个输入表单。因此，它将尝试各种组合；）@user1022585 Phantom是对的。有这么多已知的和仍然隐藏的方法来做一些危险或秘密检索数据。我的建议是给你的。不要担心使用谷歌来学习安全性。当您开始使用该语言的最佳实践时，您将受到保护。关键是永远不要停止学习。请不要使用

mysql\u real\u escape\u string

，这可能同样有风险。确保总是使用预先准备好的语句。如果有人对此感兴趣，我会发布完整的漏洞利用列表