我已经建立了一个即将上线的网站,我有几个关于防止SQL注入的问题,我知道如何使用mysqli_real_escape_string,但我只是想知道我是否必须在SQL语句的所有变量上使用mysqli_real_escape_string,我是否也必须在执行select语句时使用它,还是只在insert update和delete语句时使用它?还有什么其他安全措施,你会建议我实施之前,我把网站的生活,提前感谢任何帮助!
任何查询都可以被注入,无论是读还是写、持久还是暂时.注入可以通过结束一个查询并运行一个单独的查询(可能是mysqli)来执行,这会使预期的查询变得无关.
来自外部源的任何查询输入,无论是来自用户还是内部源,都应被视为查询的参数,以及查询上下文中的参数.查询中的任何参数都需要参数化.这将导致一个正确参数化的查询,您可以从该查询创建一个准备好的语句,并使用参数执行.例如:
SELECT col1 FROM t1 WHERE col2 = ?
?是参数的占位符.使用mysqli,可以使用prepare创建准备好的语句,使用bind_param将变量(参数)绑定到参数,并使用execute运行查询.你根本不需要净化争论(事实上这样做是有害的).mysqli是为你做的.整个过程将是:
$stmt = $mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();
parameterized query和prepared statement之间还有一个重要的区别.本声明虽然准备好了,但没有参数化,因此容易被注入:
$stmt = $mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");
总结一下:
