试图了解 SQL 注入
Trying to understand SQL injection
MySQL 有点新,但是,如果我使用 HTML、CSS 和 JS 创建页面,我是否需要使用 prepeard 语句来防止 SQL 注入?
或者仅当我使用文本输入时?
也许我使用文本输入并不重要,因为用户可以在使用浏览器检查工具时编辑文件以添加一个文件。
如果我使用 PHP 而不是 HTML 作为 include 是不是更容易注入代码?
假设我使用 Siteground 建立了一个网站,我在哪里可以找到我需要编辑的文件来防止这种情况发生,PHP 或 MySQL?
或者如果我编写一些自定义 PHP/MySQL 代码来处理传入数据库的数据,我是否只需要担心这个问题?
还是我问错问题了?
谢谢!
-A
SQL 注入是一种攻击类型,由用户编写恶意代码作为用户输入,然后将其发布到服务器。如果数据库服务器执行这样的代码,就会发生不好的事情。
为了防止执行恶意 SQL 用户输入中提供的内容等同于转义查询的动态参数。这可以通过 PDO or mysqli_real_escape_string.
来完成
因此,为了确保您没有 SQL 注入的可能性,只需检查所有执行直接 MySQL 命令的地方并确保参数被转义。
MySQL 有点新,但是,如果我使用 HTML、CSS 和 JS 创建页面,我是否需要使用 prepeard 语句来防止 SQL 注入? 或者仅当我使用文本输入时? 也许我使用文本输入并不重要,因为用户可以在使用浏览器检查工具时编辑文件以添加一个文件。
如果我使用 PHP 而不是 HTML 作为 include 是不是更容易注入代码?
假设我使用 Siteground 建立了一个网站,我在哪里可以找到我需要编辑的文件来防止这种情况发生,PHP 或 MySQL?
或者如果我编写一些自定义 PHP/MySQL 代码来处理传入数据库的数据,我是否只需要担心这个问题?
还是我问错问题了?
谢谢!
-A
SQL 注入是一种攻击类型,由用户编写恶意代码作为用户输入,然后将其发布到服务器。如果数据库服务器执行这样的代码,就会发生不好的事情。
为了防止执行恶意 SQL 用户输入中提供的内容等同于转义查询的动态参数。这可以通过 PDO or mysqli_real_escape_string.
来完成因此,为了确保您没有 SQL 注入的可能性,只需检查所有执行直接 MySQL 命令的地方并确保参数被转义。