I'm using prepared statements and MySQLi with my queries to protect against injection attacks. Would prepared statements remove the need for mysql_real_escape_string entirely? Is there anything else I should consider when securing my site?
2条回答 默认 最新
douli0531 2010-09-19 16:41关注As long as you're using the prepared statements correctly they will. You have to make sure you're binding all the external variables and not putting them directly in the query.
For example
$stmt = $mysqli->prepare("SELECT District FROM City WHERE Name=" . $name);This statement is being prepared, but it doesn't use one of the bind methods so it does no good. It is still vulnerable to SQL injection.
To fix that make sure to bind everything...
$stmt = $mysqli->prepare("SELECT District FROM City WHERE Name=?")) { $stmt->bind_param("s", $city);本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报
分享
- 2010-09-19 16:22回答 2 已采纳 As long as you're using the prepared statements correctly they will. You have to make sure you're
- 2011-06-30 10:14回答 2 已采纳 You can still get SQL injections from stored procedures which are internally using the PREPARE syn
- 2022-04-18 00:01回答 3 已采纳 $sql = "UPDATE `plan` SET `gz`='$gz',`gzff`='$gzff',`ffren`='$chaozuo' WHERE `id` ='$id'"; 问题可能在于
- 2021-03-14 16:38weixin_39984098的博客 我一直在研究如何最好地防止PHP / mysql中的sql注入,而不仅仅是使用mysqli / mysql真正的转义,因为阅读这个是mysql_real_escape_string足够的反SQL注入?我已经看到这个非常好的线程如何在PHP中阻止SQL注入?我...
- 2021-12-16 12:50回答 2 已采纳 在mybatis的xml文件里把>= 写成>= 就可以了>就表示大于号 SELECT date_format(ordertime, '%Y-%m-%d') AS 日期,
- 2021-08-28 21:22回答 1 已采纳 更新置空不行吗?update user set name= '' where id =3;
- 2022-05-31 16:24回答 1 已采纳 sql里可以使用if,elsecase when then其实类似java里的三元运算符,只能写表达式,不可以写复杂语法想写复杂语法还得用if,else
- 2021-02-02 19:59浔阳咸鱼的博客 简短的回答是NO,PDO准备不会保护您免受所有可能的SQL注入攻击。对于某些不起眼的边缘案例。我正在调整这个答案来谈论PDO ......答案很长并不容易。它基于此处演示的攻击。攻击那么,让我们从展示攻击开始......$pdo...
- 2022-03-12 00:18回答 1 已采纳 mysql中的定位字符串位置的函数叫做"instr",语法为 instr(字段 ,'要查找的字符串') 另外,mysql里也没有 "len",对应的函数为 "length"把这两个函数替换后,就像下
- 2021-09-19 21:15回答 3 已采纳 和$username参数有关,我以前也经常遇到过。
- 2022-08-16 15:20回答 4 已采纳
- 2022-08-21 13:01allway2的博客 建议使用准备好的语句,因为它们显然更适合防止 SQL 注入并且不太容易出错,因为您不必担心手动格式化——相反,您只需用您的值替换虚拟占位符. 当然,您仍然需要过滤和清理您的输入以防止 XSS。需要注意的是,这...
- 2022-04-24 18:19回答 2 已采纳 注意;要用小写;
- 2022-08-21 13:13allway2的博客 PDO 的真正优势在于,您在它支持的无数数据库中都使用...其中任何一种都可以完全接受,尽管 PDO 对大多数用户来说是更好的选择,因为它更简单、更通用,而 MySQLi 有时更适合高级用户,因为它有一些 MySQL 特定的功能。
- 2021-04-08 08:08毛毛不会飞的博客 SQL注入是一个常见的问题,当一个新的或没有经验的开发...这使您能够使用相同的代码支持多种类型的数据库,并通过使用准备好的语句保护您免受SQL注入。数据库抽象层通过API提供所有功能来隐藏与数据库的交互。所有...
- 没有解决我的问题, 去提问
悬赏问题
- ¥20 cad图纸,chx-3六轴码垛机器人
- ¥15 移动摄像头专网需要解vlan
- ¥15 对于这个问题的算法代码
- ¥20 access多表提取相同字段数据并合并
- ¥20 基于MSP430f5529的MPU6050驱动,求出欧拉角
- ¥20 Java-Oj-桌布的计算
- ¥15 powerbuilder中的datawindow数据整合到新的DataWindow
- ¥20 有人知道这种图怎么画吗?
- ¥15 pyqt6如何引用qrc文件加载里面的的资源
- ¥15 安卓JNI项目使用lua上的问题