这个问题在这里已经有答案了:
如何防止php中的sql注入(28个答案)
两年前关门了。
我有一个php函数,可以检查我所有的php文件,所以没有攻击可以上传任何脚本的东西。。虽然,我的客户机的站点太旧了,几天前,我从服务器上收到一条消息说:mysql注入,正在尝试使用查询。
该系统有一个php版本:5.2.17,有一些mysql\U查询正在被弃用。。。虽然系统的更新太难了。。
我试图找到一个解决方案,并检查这些:
mysql\u real\u escape\u string()
是数字()
htmlspecialchars(值,ent\U引号)
我不知道这些算不算!为了避免sql注入,上述任何一种方法都有效吗?
此外,我发现这是一个很好的解决方案:
用途:过滤php的输入(…)
攻击是以$获取值进行的,但没有触及数据库。。然而。。我看到的查询类似于标识符。。
任何建议或帮助将不胜感激!
1条答案
按热度按时间cuxqih211#
mysql\u escape\u real\u string()是防止sql注入本身所需要的唯一方法。htmlspecialchars()用于防止xss攻击。
我猜你不能使用任何更新的库或升级php。在这种情况下,我建议您使用http://php.net/manual/en/function.override-function.php 因为很容易忘记逃避查询。