我认为我有一个完整的工作网站,有许多调用
MySQL服务器,并在这个网站上做了一些研究,我看到以这种形式制作我的查询:
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",MysqL_real_escape_string($user),MysqL_real_escape_string($password));
我可以解决安全问题,但是,正如我所说的,我有很多调用MysqL服务器,并且解决问题的最好方法(在我的情况下)直接转到vars im传递给查询但是whitout使用a MysqL函数因为im出了查询.让我解释一下,我有这个:
MysqL_query("SELECT * FROM `post` WHERE id=" . $_GET['edit']);
我不能对这个查询进行修改,因为我在我的所有代码中都有很多这样的东西,我想要检查var上的注入,$_GET [‘edit’].
$_GET['edit']=freehack($_GET['edit']);
不要这样做.通过使用“安全”版本替换$_GET参数的值,您将污染输入数据,这可能是其他地方所需要的.
只有在需要在数据库层上使用数据时才转义数据.它只需要您一点时间来修复您的查询,从长远来看将为您节省大量的麻烦.
无论如何,你在做什么仍然不安全!见:PHP: Is mysql_real_escape_string sufficient for cleaning user input?
你真的应该使用prepared queries with PDO.此外,在查询中使用它之前,你应该检查你的用户输入的有效性.
