php 防范 SQL 注入这样够不够

base64_encode 的意义在哪里？

@oott123 html代码不能简单过滤，但是我不知道怎么处理... 于是就base64了，这样没用的话，应该怎么防范，请指教0 0

防注入pdo参数绑定不就行了

@liuhaotian HTML 代码过滤的最终目的是在展示的时候防止 xss 等安全问题，而不是防止在入库的时候被注入。
所以你要么用 htmlspecialchars 即根本不用富文本，要么用一些现成的 xss 过滤的库。

我审计过许多全局转义$_GET和$_POST的CMS，仍然能挖到注入（不要问我怎么挖的

mysql_escape_string名义上防注入，实际上换个角度看反而是注入的主要原因（拼接sql），在业务里用这个函数约等于存在/未来存在注入

**靠小心翼翼是防止不了漏洞的**

如楼上所说的，base64解决不了富文本编辑的问题……还加大了检索难度
mysql_escape_string要连接mysql使用，还不如addslashes，而且mysql_系列函数已经废弃了
对于现在流行的注入方式，这两个措施其实都没啥用……
还是统一处理一下输入输出或者PDO吧……

pdo绑定参数就可以解决了，只是HTML的xss过滤没那么容易

别看那些十几年前出来的旧书了
Mysql是php中已经废弃的特性了，现在只用mysqli和Pdo了，既然用这两个，当然得用参数绑定来防止注入，这是我的一个支持where in 参数绑定的Pdo类。
https://github.com/lincanbin/PHP-PDO-MySQL-Class

拼接字符串那种方法就算用函数过滤输入还是有局限性的，例如一些输入确实就有有用的引号，所以还是得用参数绑定，堵不如疏。
https://github.com/lincanbin/PHP-PDO-MySQL-Class/blob/master/README.md

Preventing SQL Injection Attacks

Safety: Use parameter binding method

Safety Example:

<?php
$DB->query("SELECT * FROM fruit WHERE name=?", array($_GET['name']));
?>
Unsafety: Split joint SQL string

Unsafety Example:

<?php
$DB->query("SELECT * FROM fruit WHERE name=".$_GET['name']);
?>

拼接 SQL 是一个不好的习惯。

正确的姿势是使用 Prepared Statement。

PDO

@aveline Prepared Statment也只能防SQL注入，对于前端的xss还是要过滤，去找找相关的库吧

最近也在找SQL注入的相关资料，我发现前几天写的站，安全性基本处于0的情况，查询基本就是拼接，前端输入进行了限制

需求这么大，必然有处理好的第三方库。
另外，一般上了框架以后，用框架的绑定参数增删改查。

@lincanbin 用这种代码方式就可以防止SQL注入？

@Moker 是，这个叫参数绑定，引入GitHub上那个类后别再用参数拼接了

@lincanbin SQLSTATE[HY000] [1045] Access denied for user 'xxxxx'@'localhost' (using password: YES)
出现这样的问题，网上查过好像是说权限问题，我是本地测试的，检查过用户配置，发现权限没问题

@Moker 权限没问题为什么会提示没权限？ 仔细检查吧，估计就在那个旮旯

@Moker 你是远程连接么