php和SQL可能存在的安全漏洞
我有一段代码,基本上是从mysql数据库检索数据的:php和SQL可能存在的安全漏洞,php,sql,Php,Sql,我有一段代码,基本上是从mysql数据库检索数据的: $categoria = $_GET['categoria']; if($categoria ==""){}else{ $consulta = @mysql_query("SELECT * FROM productos where categoria='$categoria' ORDER BY nombre ASC"); while($seleccion = @mysql_fetch_array($consulta)){ $nombr
$categoria = $_GET['categoria'];
if($categoria ==""){}else{
$consulta = @mysql_query("SELECT * FROM productos where categoria='$categoria' ORDER BY nombre ASC");
while($seleccion = @mysql_fetch_array($consulta)){
$nombre = $seleccion['nombre'];
$referencia = $seleccion['referencia'];
$descripcion = $seleccion['descripcion'];
$imagen = $seleccion['imagen'];
谢谢 这段代码肯定有严重的安全缺陷。您应该使用Prepared语句。可以修改GET参数。您的代码易受SQL注入攻击。此代码肯定存在严重的安全漏洞。您应该使用Prepared语句。可以修改GET参数。您的代码易受SQL注入攻击 我想知道,像这样的代码在安全性方面会有什么问题吗?有被黑客入侵的风险吗 是的,是的mysql函数不仅已弃用且不再维护,部分原因是使用SQLInjection会带来安全风险,而且还缺乏面向对象的功能 连接和处理现有数据库查询的最佳安全方式是通过
mysqliPDO@mysqliPDO最后但并非最不重要的一点是,使用
@mysqlmysql\u real\u escape\u stringmysqlipdo$consulta = @mysql_query("SELECT * FROM productos where categoria='" . mysql_real_escape_string($categoria) . "' ORDER BY nombre ASC");
另外,最好的补充说明是,在语句前面不要加前缀
@error\u reportingdisplay\u errorsmysqlmysql\u real\u escape\u stringmysqlipdo$consulta = @mysql_query("SELECT * FROM productos where categoria='" . mysql_real_escape_string($categoria) . "' ORDER BY nombre ASC");
另外,最好的补充说明是,在语句前面不要加前缀
@error\u reportingdisplay\u errorsif($categoria!=”){if($categoria){if($categoria==”){}其他{if($categoria!=”){if($categoria){if($categoria==“”){}else{@\uquery@\u query