保护我的php脚本/mysql查询不受SQL注入的影响?
可能重复:保护我的php脚本/mysql查询不受SQL注入的影响?,php,mysql,sql-injection,Php,Mysql,Sql Injection,可能重复: 我刚刚意识到,我用来提取mySQL数据并将其显示在网站上的php脚本极易受到SQL注入攻击。使用什么实践来防范这些攻击?使用mysqli\u real\u escape\u string来逃避正在发生的任何事情是您至少应该做的 您可能还希望研究如何使用准备好的语句 请在此处阅读更多内容:您文章中的所有评论都是很好的建议。我个人更喜欢通过对话使用事先准备好的陈述 从用户处获得的每个参数(无论是直接的还是间接的)、从未显式设置的变量插入到查询中的每个值等,都应该使用准备好的语句插入到查
我刚刚意识到,我用来提取mySQL数据并将其显示在网站上的php脚本极易受到SQL注入攻击。使用什么实践来防范这些攻击?使用
mysqli\u real\u escape\u string请在此处阅读更多内容:您文章中的所有评论都是很好的建议。我个人更喜欢通过对话使用事先准备好的陈述 从用户处获得的每个参数(无论是直接的还是间接的)、从未显式设置的变量插入到查询中的每个值等,都应该使用准备好的语句插入到查询中。没有例外。更有经验的开发人员可以避免一些例外,但我建议永远不要例外
有关一些示例,请参见PHP文档中的。有关如何在PHP中使用参数化查询的示例,请参见。另请参见请不要使用字符串转义。聪明的PHP程序员会使用参数化查询。我说过这是他至少应该做的,显然有更好的方法,比如参数化和使用准备好的语句。更不用说准备好的语句不是到处都可用的(阅读:
mysql.*