doukuiqian5345 2016-09-27 18:07
浏览 67
已采纳

PHP和PostgreSQL:避免跨站点脚本和SQL注入攻击

When inserting data into a PostgreSQL database through PHP, should I embed the data in a sql INSERT statement within the function pg_query, or would it be more secure to pass the data through an array into the pg_insert function?

My guess would be pg_insert since it's just inserting the data directly into the table rather than querying the table and then inserting it.

Please visit http://php.net/manual/en/book.pgsql.php for reference to these 2 functions.

  • 写回答

1条回答 默认 最新

  • dongyi7513 2016-09-27 19:57
    关注

    To avoid SQL injection, you want to call methods that accepts SQL parameters as method parameters. That way, your SQL library can make sure that the parameters are properly escaped. Never build your own SQL-statements by "appending" string-fragments. If you do, you are responsible for SQL-escaping the parameters. This is hard to get right.

    Therefore, you should prefer pg_query_params (or pg_insert) over pg_query.

    This is wrong (because you must remember to escape the $arg1-parameter. Which is hard.):

    pg_query("INSERT INTO TABLE ... VALUES " . $arg1 . ";");

    Right (because the smart guys at PostgresQL know how to escape your parameter):

    pg_query_params("INSERT INTO TABLE ... VALUES $1", "FooBar");
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • 6、Web安全漏洞:脚本攻击SQL注入防范解析
    2025-11-01 03:07
    ll5678的博客 本文深入解析了Web应用中的两大常见安全漏洞:脚本攻击(XSS)和SQL注入。详细介绍了XSS的Cookie窃取、表单数据劫持和页面篡改等攻击方式及其防范措施,并剖析了SQL注入的原理、各类注入场景及防御方法,如预...
  • php角度分析预防xss和Sql注入
    2019-05-08 15:05
    pigfu的博客 本文从php角度分析如何预防xss和Sql注入,Xss形式和Sql注入形式
  • 基于PHP的菏泽信息网PHP新增升级CMS源码.zip
    2023-10-14 21:42
    5. **安全措施**:可能包括输入验证、SQL注入防护、XSS攻击防御等,确保网站的安全性。 6. **API接口**:如果系统支持与其他服务的集成,可能包含API接口定义,如RESTful API,便于与其他系统交换数据。 7. **升级...
  • 基于PHP的Eyoucms企业建站系统PHP源码.zip
    2023-08-26 21:46
    6. **安全防护**:Eyoucms具有一定的安全防护机制,如SQL注入防御、XSS过滤等,降低网站被攻击的风险。 7. **内容管理**:包括文章、产品、下载等各类内容的发布、编辑和管理,支持分类、标签等功能。 8. **会员系统...
  • 基于PHP的WOC-YII 开源站群管理系统 php版.zip
    2023-07-23 00:34
    7. **安全性**:基于Yii框架的系统通常具备良好的安全性,但仍然需要关注定期更新以修复潜在的安全漏洞,避免SQL注入脚本攻击等。同时,对用户输入进行严格的过滤和验证也是必要的。 8. **文档与支持**:开源...
  • 基于PHP的信丰php生活网整站系统dede内核源码.zip
    2024-01-04 23:21
    7. **安全防护**:防止SQL注入、XSS攻击等网络安全问题,确保用户数据安全。 从【压缩包子文件的文件名称列表】132690819329933755来看,没有具体的文件名,但通常一个完整的PHP网站源码包会包含以下部分: - **...
  • 基于PHP的WOC-YII开源站群管理系统php版源码.zip
    2023-08-29 00:13
    5. **安全防护**:YII内置了防止SQL注入、XSS攻击等安全机制,增强了应用程序的安全性。 **站群管理系统** 站群管理系统的主要功能可能包括: 1. **多站点管理**:可以添加、编辑和删除多个子站点,统一管理每个...
  • 基于PHP的Discuz精仿163K地方门户网站 php.zip
    2023-07-20 07:45
    8. **安全性**:基于PHP的网站需要注意防止SQL注入、XSS脚本攻击等网络安全问题,因此开发时需遵循最佳安全实践,如使用预编译语句、过滤输入数据等。 9. **用户体验**:一个成功的本地门户网站需要有良好的...
  • 基于PHP的serendipity php智能博客blog系统.zip
    2023-07-22 08:49
    8. **安全考虑**:作为一个成熟的Web应用,Serendipity会关注用户数据的安全,例如通过预防SQL注入、XSS攻击等方法,确保用户信息不被非法获取。 9. **内容管理系统(CMS)**:虽然Serendipity主要被用作博客系统,...
  • 基于PHP的随意多功能留言板 SyGuestBook.zip
    2023-08-28 00:02
    7. **安全措施**:除了验证码,还可能使用XSS防护(防止脚本攻击)和CSRF令牌(防止站请求伪造)来增强安全性。 【总结】 基于PHP的SyGuestBook留言板系统是一个实践PHP编程和Web开发技能的好项目,涵盖了...
  • 没有解决我的问题, 去提问