dtf579777 2013-05-06 23:30
浏览 133
已采纳

使用PHP isnumeric函数保护从SQL注入获取变量[复制]

I have a PHP script that depending on the value of an id in a GET variable will retrieve different data from a mysql database. The value of the id should be a number at all times. Instead of changing my current mysql query to use PDO, would running isnumeric on the Get variable and exiting the script if it is not a number be sufficient to protect against injection in all or most cases, ie, would it still be possible for some injection sql to slip through isnumeric?

Just a humble comment on the duplicate question issue, I looked at the suggested duplicate question and think that as a beginner it might not be clear on its face that my question is an exact duplicate of that one.

</div>
  • 写回答

2条回答 默认 最新

  • duanqian8867 2013-05-06 23:38
    关注

    Yes, it would protect in this case. No, it would be a really, really bad idea unless you absolutely know what you're doing and document the choice properly in comments.

    There are 2 strategies towards any kind of security:

    1. Denial. Choose the lazy approach that works for the situation at hand instead of fundamentally fixing it. Now wait for the day you forgot this was your 'security', and you change the code and it becomes vulnerable all of a sudden, and kiddie porn is uploaded to your site.
    2. Professionalism. Fix the problem thoroughly, validate the inputs and protect your database layer properly, by either escaping or using prepared statements.

    Choose professionalism and thank me a year from now.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

  • 使用PHP isnumeric函数保护SQL注入获取变量[复制] php
    2013-05-06 23:30
    回答 2 已采纳 Yes, it would protect in this case. No, it would be a really, really bad idea unless you absolutel
  • SQL server中使用cast转换字段类型并规避空值 sql 数据库
    2022-12-16 23:10
    回答 1 已采纳 有两种方式:1、先判断是numeric的才进行cast转换,否则就直接使用0 select sum(case when isnumeric(字段名) then cast(字段名 as numeric)
  • 使用PHP和HTML控制保存图像的大小 html javascript php
    2016-06-09 11:13
    回答 2 已采纳 You haven't set the width and height on the canvas element. <canvas id="canvas" class="picCapt
  • SQL 注入
    2017-08-18 22:39
    足迹365的博客 sql注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎...
  • 如何将多行插入数据库PHP MYSQL javascript php
    2018-01-24 11:38
    回答 1 已采纳 Just for the record I do not believe this to be the best way to approach this particular problem -
  • 使用HttpURLConnection在Android设备上进行PHP HTTP POST android php
    2013-06-20 00:07
    回答 2 已采纳 You have to use $_POST instead of $_GET everywhere.
  • 如何在Golang中编写isNumeric函数
    2017-08-15 03:40
    回答 5 已采纳 I was thinking of using strconv ParseInt and ParseFloat but not sure if that is the right way
  • 关于php_与_sql注入大全
    2011-05-08 16:50
    饭fan有引力的博客 随着B/S模式应用开发的发展,使用这种模式编写应用程序的... SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查
  • 使用$ .ajax重复表单提交和验证问题 ajax javascript jquery php
    2017-08-31 21:29
    回答 3 已采纳 Since you're using jquery, you can get the parent form this way: function formSubmit(e) { var
  • Python怎么循环调用这个函数 python 有问必答
    2021-11-30 23:58
    回答 2 已采纳 什么循环调用,没明白? 是这样吗 def check_number_exist(password_str): for c in password_str: if c.isnum
  • 添加表行时按钮不起作用 html javascript jquery php
    2016-10-04 14:30
    回答 5 已采纳 The dynamically added buttons are not binded to anything. The solution is to make your onload bin
  • sql注入(从入门到进阶)
    2019-09-29 23:30
    ahya75516的博客 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对... SQL注入是从正常的...
  • 将单元格添加到不属于对话框的表中 html javascript jquery php
    2016-10-06 19:54
    回答 1 已采纳 Here everything I've done [JS] Use jQuery .clone() (jQuery clone) I duplicate one <tr> usi
  • 最详细SQL注入教程
    2017-10-24 11:31
    易利伟的博客 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,...SQL注入是从正常的WWW端口访
  • [转]asp.net MVC防SQL注入
    2019-07-21 21:04
    weixin_30325487的博客 引 言 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候...SQL注入是从正常的WW...
  • SQL注入文章资料
    2015-10-13 16:58
    bcbobo21cn的博客 sql注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库...
  • SQL注入
    2015-07-07 17:45
    YKai167的博客 SQL注入漏洞全接触——入门篇 ZDNet 软件频道 更新时间:2007-08-20 作者:CSDN 来源:CSDN 本文关键词:漏洞 SQL Server SQL  随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。...
  • SQL注入原理
    2019-10-05 15:02
    a1599382143的博客 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入 门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有...SQL注入是从正常的WW...
  • SQL注入漏洞,攻防必杀技!
    2015-10-29 16:19
    csdn小松鼠的博客 SQL注入是常见的利用程序漏洞进行攻击的方法,是很多入门级“黑客”喜欢采用的攻击方式,近来网上对它的讨论很热烈,所以我在本期专题中为读者揭示SQL攻击的主要原理以及如何防范这种攻击。攻击源于程序漏洞 SQL注入...
  • SQL注入命令
    2019-07-19 17:54
    weixin_30387663的博客 SQL注入天书 引 言 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 winform的chart曲线生成时有凸起
  • ¥15 msix packaging tool打包问题
  • ¥15 finalshell节点的搭建代码和那个端口代码教程
  • ¥15 用hfss做微带贴片阵列天线的时候分析设置有问题
  • ¥15 Centos / PETSc / PETGEM
  • ¥15 centos7.9 IPv6端口telnet和端口监控问题
  • ¥120 计算机网络的新校区组网设计
  • ¥20 完全没有学习过GAN,看了CSDN的一篇文章,里面有代码但是完全不知道如何操作
  • ¥15 使用ue5插件narrative时如何切换关卡也保存叙事任务记录
  • ¥20 海浪数据 南海地区海况数据,波浪数据