ほとんどのPHPプログラマMySQLはマニュアルの開発に様々な機能を使用し、w3school導入多くのそのようなサイトがあるとして、確かにMySQLへは見知らぬ人ではありません。しかし、あなたは本当に安全文言を使用しましたか?ますます横行ハッカー攻撃の顔は、SQLインジェクションの防止は非常に重要ですので、MySQLのだけでなく、より正しい姿勢を使用しています。
### SQLインジェクションについて
SQLインジェクション:WebフォームにSQLコマンドを介して挿入されて送信したり、ドメイン名またはページリクエストクエリ文字列を入力して、最終的には悪質なSQLコマンドを実行するサーバーを欺きます。
具体的には、既存のアプリケーションの使用があり、実行のバックエンドデータベースエンジンの能力に(悪質な)SQLコマンドインジェクションが、それはセキュリティ上の脆弱性のサイト上で取得するには、Webフォームで(悪質な)SQL文を入力することができますデザイナーの意図に基づいてSQL文を実行するデータベースではなく、。
インターネットが意図を通じていくつかの簡単な例、ステップして、URLリクエストパラメータ調整ステップに見つけることができ、サーバは自分に戻るために原因となる MySQLの 機密データを得る目的を達成するために、データ構造と内容。
### - インジェクション法
めったに言及していないのマニュアルとチュートリアルの開発にもあり、適切なデータベース操作機能を、使用している開発者。たとえば、通常はこのように書かれた単純なクエリ機能、達成するために: 人をターゲットにしている場合は、この使用法は、非常に安全ではない、それは簡単にSQLインジェクションになります多くの人々がありますので、次のように言葉を選んだmysql_real_escape_stringのを、使用することをお勧めします:
この方法は、最初よりも安全ですが、彼らはまだインジェクション攻撃サーバにログインするために、任意のパスワードを入力エンコード達成するための抜け穴を利用することができます。また、いくつかのstr_replace、にaddslashesのmagic_quotes_gpcのオプションまたはそのような方法を使用して、すでに失敗していない、まだひび割れする可能性があります。
しかし、Baiduは、「PHP-注入は、」上記のアプローチを導入し、多くの記事が残っています。だから我々は厳粛に、リスク皆に思い出させるために、このピットを回避するために、すべての新規参入者を思い出させるためにここにいます。
だから、今も免疫注入法には、メカニズムの準備書です。ここでは、使用にmysqliの方法をお勧めします、MySQLの拡張は、より直接的にPHP7でサポートされていない、php5.5に放棄されています。互換性の高いバージョンであると考えられ、mysqliの最終クエリコードを利用するために新しいコードはこのようになります。 上記のすべての操作のMySQLコードはそう再構成され、その後、SQLインジェクションの顔はあなたが後ろに座るとリラックスすることができます。加算PDOで同じデータベースを保護するために、文の仕組みを用意、興味のある学生は、それを自分で試すことができます。 リンク https://pan.baidu.com/s/1v5gm7n0L7TGyejCmQrMh2g 抽出コード:x2p5
Xの共有すること自由に、しかし重大な制約、リンクをクリックするか、リンクが検索に加えて、集団グループ番号486 583 931、失敗するリンクをクリックしてください
Xの共有すること自由に、しかし重大な制約、リンクをクリックするか、リンクが検索に加えて、集団グループ番号486 583 931、失敗するリンクをクリックしてください