php里面怎么防止数据库注入攻击!! 求教php的安全问题,谢谢!! 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 1.用户输入验证!2.在php拼接传来的数据适合,如果提前知道传来的数据是什么格式的,可以进行一下类型强制转换! SELECT * FROM xmen WHERE username = 'wolverine'SQL查询会返回“xmen”表中username(用户名)=“wolverine”的数据记录。使用参数,UPDATE语句,直接用上SQL查询语句这一定要改 在代码里最容易被攻击切记要改个人观点 嘿嘿~ 使用htmlspecialchars过滤用户输入的信息;执行数据库操作时,不要直接将用户输入的信息插入到数据库语句中,而是使用bindParam的方式来传递参数。 http://topic.csdn.net/u/20090703/10/b16560d1-1aad-4607-91cb-65fa32be3bdc.html楼主看看这个帖子,给分哦哈哈 可以这样嘛,先让它等于空,一个很简单的例子$username="";if($_GET['username']!=""){ $username=$_GET['username'];} 寫個攻擊的sql,如何處理你自己想select * from user where userName='admin' and 1=1;update user set password='' where 1;--' 輸入的userName為admin' and 1=1;update user set password='' where 1;--知道如何處理了吧 请问我这里加的对吗? 如何计算表中相邻的两条记录的某时间字段的值之差 泡沫排序算法 问一判断记录集是否为空的问题 请教:PHP+WinWebMail 发送邮件应该如何配置? 谁有简单的Weblog源程序?只要有数据库和日期更新的哪种,急用!我参考一下!!!!!!!!! mail()发送邮件的问题 php 创建excel文件时如何加粗、设置字体、设置背景色? 请问在哪里能找到有关PHP中可应用的环境变量的列表?(我是新手) php文件处理 在线等报表汇总问题 请教PHP多选表单的问题!急用
2.在php拼接传来的数据适合,如果提前知道传来的数据是什么格式的,可以进行一下类型强制转换!
SQL查询会返回“xmen”表中username(用户名)=“wolverine”的数据记录。使用参数,UPDATE语句,直接用上SQL查询语句这一定要改 在代码里最容易被攻击
切记要改个人观点 嘿嘿~
执行数据库操作时,不要直接将用户输入的信息插入到数据库语句中,而是使用bindParam的方式来传递参数。
楼主看看这个帖子,给分哦哈哈
$username="";
if($_GET['username']!="")
{
$username=$_GET['username'];
}
select * from user where userName='admin' and 1=1;update user set password='' where 1;--'
輸入的userName為admin' and 1=1;update user set password='' where 1;--
知道如何處理了吧