Php 我对我的网站的sql注入保护是否足够?

Php 我对我的网站的sql注入保护是否足够?,php,html,mysql,sql,web,Php,Html,Mysql,Sql,Web,我制作了一个网站,我只显示数据库表中的项目,我将变量从一个页面传递到另一个页面以显示某些项目,我的网站中没有添加、删除或编辑我的表项目,只是显示信息 $aaa = _POST['aaa']; $databasehost = "localhost"; $databasename = "mydb"; $databaseusername = "user"; $databasepassword = "password"; // Connect to the database server $dbcn

我制作了一个网站,我只显示数据库表中的项目,我将变量从一个页面传递到另一个页面以显示某些项目,我的网站中没有添加、删除或编辑我的表项目,只是显示信息

$aaa = _POST['aaa'];

$databasehost = "localhost";
$databasename = "mydb";
$databaseusername = "user";
$databasepassword = "password";

// Connect to the database server
$dbcnx = @mysql_connect($databasehost, $databaseusername, $databasepassword);
 if (!$dbcnx) {
 echo( "<font color='red'><P>can't connect to server.</P></font>" );
 exit();
  }
 // Select the database
 if (! @mysql_select_db($databasename) ) {
 echo( "<font color='red'><P>can't connect to db </P></font>");
 exit();
  }

 $aaa = mysql_real_escape_string($aaa)

 // and with $aaa I do my query

我只是有点偏执,还是有办法保护这些连接到y服务器和数据库的信息?

任何人都无法在不访问您的服务器的情况下查看数据库连接信息,因为PHP是在服务器上执行的,不会发送到用户的浏览器。这就是说,如果你关心这个问题,你可能想考虑把这些变量放在一个配置文件中,并对它们加密。 任何人都无法在不访问服务器的情况下查看数据库连接信息,因为PHP是在服务器上执行的,不会发送到用户的浏览器。这就是说,如果你关心这个问题,你可能想考虑把这些变量放在一个配置文件中,并对它们加密。 如果您的目标是严格防止通过$aaa变量注入,那么您应该可以。正如@MikeG所指出的,您可能应该将连接信息移动到web根目录之外的单独配置文件中,以提高安全性。如果有人获得您的数据库凭据,您就不必担心注入问题。

如果您的目标是严格防止通过$aaa变量进行注入,您应该可以。正如@MikeG所指出的,您可能应该将连接信息移动到web根目录之外的一个单独的配置文件中,以提高安全性。如果有人获得您的数据库凭据,您无需担心注入问题。

这不重要,但如果您担心的话,只需使用for字符串转义传递到数据库的所有值,并在数值上使用intval/floatval


这不是完美的安全性,但总比不这样做要好。

这不重要,但如果您担心它,只需使用for字符串转义传递到数据库的所有值,并对数值使用intval/floatval


这不是完美的安全性,但总比不这样做要好。

请不要使用mysql函数编写新代码。它们不再得到维护,社区已经开始。看到了吗?相反,你应该学习并使用或。如果你不能决定哪一个,我会帮你的。如果您选择PDO。还可以看到上面的回答是固定的,但我相信它很适合你的问题。这行$aaa=\u POST['aaa']保护任何人不使用你的网站。为什么我使用mysql会得到负票?我很感谢你的纠正,并为我指明了正确的道路,但我认为这不值得投反对票@Daedalus谢谢我会调查的。请不要使用mysql函数来编写新代码。它们不再得到维护,社区已经开始。看到了吗?相反,你应该学习并使用或。如果你不能决定哪一个,我会帮你的。如果您选择PDO。还可以看到上面的回答是固定的,但我相信它很适合你的问题。这行$aaa=\u POST['aaa']保护任何人不使用你的网站。为什么我使用mysql会得到负票?我很感谢你的纠正,并为我指明了正确的道路,但我认为这不值得投反对票@代达罗斯:谢谢你,我会调查的。谢谢你的快速回复!您知道或有关于配置文件的外观以及我如何从web文件中调用它的示例吗?感谢您的快速响应!您知道或有关于配置文件的外观以及我如何从web文件中调用它的示例吗?谢谢您对$POST的评论,我想我是在键入fast,但是在单独的配置文件中,您知道或者有关于它应该是什么样子以及如何从web文件中调用它的示例吗?您可以将变量直接注释到单独的PHP文件中,并在原始文件中使用调用该文件。感谢您对$POST的评论,我想我键入的是fast,但是在单独的配置文件中,您知道或者有关于它应该是什么样子以及如何从web文件调用它的示例吗?您可以直接将变量注释到单独的PHP文件中,并在原始文件中使用调用该文件。
 $databasehost = "localhost";
 $databasename = "mydb";
 $databaseusername = "user";
 $databasepassword = "password";