请问一下大家都是怎么防 MYSQL 注入的。菜鸟我一直纠结这个！

2015-01-07 18:31:44 +08:00

byc8888

首先肯定要不可信所有外部传入的参数,都得检验！
我常用的有 addslashes mysql_escape_string

但是这两个函数听说不是很可靠。

想请问下大家是用什么方法！

5944 次点击

所在节点

PHP

26 条回复

ijophy

2015-01-08 01:53:02 +08:00

PDO 预处理

JamesRuan

2015-01-08 02:04:32 +08:00

转义，参数化

Sunyanzi

2015-01-08 04:38:45 +08:00

@RIcter Drupal 的那个注入漏洞其实跟 PDO 没关系 ... 分明是构装 SQL 时候的逻辑错误 ...

对于 PDO 的 MySQL Driver 而言 ...

正确使用 prepare / execute 和 PDO::ATTR_EMULATE_PREPARES 就是绝对安全的 ...

vibbow

2015-01-08 06:34:52 +08:00

大杀器：
http://modsecurity.org/

huigeer

2015-01-08 09:18:44 +08:00

PDO Mysqli, 检测方法 sqlmap

flash866

2015-01-09 15:05:21 +08:00

PDO预处理。但是用了预处理，就无法返回exec后的影响的行数，要返回行数的话，就必须手工转义。

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/160068

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.