这个问题在这里已经有了答案:关闭10年前。PossibleDuplicate:BestwaytopreventSQLInjectioninPHP这段代码是否有足够的保护来防止sql注入(inject)if(isset($_POST['Submit'])){$user=mysql_real_escape_string($_POST["user"]);$pass=mysql_real_escape_string($_POST["pass"]);$confirm_key=md5(uniqid(rand()));$query=mysql_query("INSERTINTOmembers(use

我正在编写一个C应用程序，它接受一些用户输入并执行一些数据库查询。我很清楚SQL注入(inject)的风险，并希望阻止它。理想情况下，我会使用参数化查询，但到目前为止在C中找不到任何具有此功能的东西。我目前正在构建我的查询:char*query;asprintf(&query,"UPDATESomeTableSETSomeField='%s';",userInput);如果我无法做到这一点，那么我必须需要过滤用户输入。应该如何进行过滤？仅删除所有的's和"s就足够了吗？(有效输入不能包含它们)。如果是这样，在C中执行此操作的最简单方法是什么？ 最佳答案

所以我正在研究整个PDO事情，并且在阅读这篇博客教程时遇到这段代码，解释是如果我将PDO与数据绑定(bind)一起使用-用户将无法添加SQL注入(inject)。这是如何工作的？#noplaceholders-ripeforSQLInjection!$STH=$DBH->("INSERTINTOfolks(name,addr,city)values($name,$addr,$city)");#unnamedplaceholders$STH=$DBH->("INSERTINTOfolks(name,addr,city)values(?,?,?);#namedplaceholders$ST

背景:我已经开始了一个项目，使用JDBC和MYSQL来模拟一个书店，全是本地的。为了连接到数据库，我开始使用Statement，但我开始读到，当多次使用仅更改其参数的查询时，对这些查询使用PreparedStatement会更有效。然而，我读得最多的是PreparedStatements如何更好地防止SQL注入(inject)。来源:此线程的答案here谷歌教授我的问题:在处理参数化查询时，PreparedStatements如何比Statements更好地防止SQL注入(inject)，甚至在这方面有所不同？我很困惑，因为如果我理解正确的话，这些值仍然会传递到执行的SQL语句中，这只

这是我的代码:$email=mysqli_real_escape_string($db_con,$_POST['email']);$psw=mysqli_real_escape_string($db_con,$_POST['psw']);$query="INSERTINTO`users`(`email`,`psw`)VALUES('".$email."','".$psw."')";有人能告诉我它是否安全，或者它是否容易受到SQL注入(inject)攻击或其他SQL攻击？ 最佳答案 Couldsomeonetellmeifitisse

http://php.net/manual/en/pdo.prepared-statements.phpIfanapplicationexclusivelyusespreparedstatements,thedevelopercanbesurethatnoSQLinjectionwilloccur(however,ifotherportionsofthequeryarebeingbuiltupwithunescapedinput,SQLinjectionisstillpossible).某些输入未转义的可能情况是什么？如果所有其他输入都使用PDO进入数据库，这是否可能？我正在考虑使用m

我只想验证在MySQL中使用准备好的语句是否可以防止SQL注入(inject)。下面的代码能防止所有的SQL注入(inject)攻击吗？$var=$_GET['q'];$trimmed=trim($var);if($trimmed!=NULL){$get_fighters=$DBH->prepare('SELECT*FROMfightersWHEREnameLIKE:searchTermORnicknameLIKE:searchTermORborn_in_cityLIKE:searchTermORborn_in_stateLIKE:searchTermORborn_in_country

我目前正在处理一个遗留的ASP项目，其中安全性现在已成为一个大问题。它不仅是不安全的加密方法(md5)，而且我担心SQL注入(inject)问题。我还不太擅长注入(inject)，而且我只尝试了我所知道的基础知识。我找到了“保护”任何用户输入的功能，但我想知道它是否真的在做任何事情来防止注入(inject)攻击。这是函数:functionsqlfix(input)ifnotisnull(input)andinput""theninput=replace(input,";",";")input=replace(input,"'","'")input=replace(inp

我有这个简单的mysql查询:INSERTINTOtable(col1,col2)VALUES('1','2')col1和col2是另一个表的外键，因此col1和col2的任何值都必须存在在另一个表中，否则不会插入该行。这种情况下是否还有SQL注入(inject)的风险？如果我从PHPPOST接收到这些col值，我是否仍然需要在插入数据库之前绑定(bind)它们，或者它们已经是安全的，因为cols是外键？ 最佳答案 是的。来自用户的所有输入都需要检查是否经过清理。例如。如果用户向您发送这样的字符串'2');droptable作为你的

这个问题在这里已经有了答案:HowcanIpreventSQLinjectioninPHP?(27个答案)关闭9年前。我在我的一个php文件中有下面的代码来从数据库中获取数据:$products=$this->db->get_rows('SELECT*fromproductsWHEREshop_id='.$_SESSION['shop_id'].'ANDtags,title,textLIKE\'%'.$_POST['search'].'%\'');有问题吗？我的意思是可以注入(inject)LIKE运算符？已编辑请提供这种方式注入(inject)的例子