V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Hanmo5888
V2EX  ›  PHP

关于 PHP 防注入的问题

  •  1
     
  •   Hanmo5888 · 2019-07-30 18:19:24 +08:00 · 3432 次点击
    这是一个创建于 1942 天前的主题,其中的信息可能已经有所发展或是发生改变。
    大佬们,关于 php 的防 sql 注入请教个问题
    我在用户注册的时候用 mysqli_real_escape_string();过滤了一遍然后写入数据库,然后要读取的时候直接获取不再进行过滤,这么写安全吗
    7 条回复    2019-08-08 10:30:22 +08:00
    xiaoz
        1
    xiaoz  
       2019-07-30 19:17:35 +08:00 via Android   ❤️ 1
    看读取的时候参数是前端传递还是后端固定的,前端传的话还是再过滤一次吧。
    Hanmo5888
        2
    Hanmo5888  
    OP
       2019-07-31 09:50:05 +08:00
    @xiaoz 什么意思呢,我读取的时候就直接 mysqli_query + mysqli_fetch_array 然后直接 echo,这样会有问题吗
    Hanmo5888
        3
    Hanmo5888  
    OP
       2019-07-31 10:00:51 +08:00
    @xiaoz 我理解你的意思了,谢谢大佬
    Hanmo5888
        4
    Hanmo5888  
    OP
       2019-07-31 10:20:36 +08:00 via Android
    @xiaoz 那如果是前端用 POST 传过来的能不能直接$_POST=mysqli_real_escape_string($c,$_POST);
    jfcherng
        5
    jfcherng  
       2019-08-01 00:40:00 +08:00
    前端想傳什麼是你能控制的?
    hongzx
        6
    hongzx  
       2019-08-06 11:16:36 +08:00
    建议使用 mysql 预处理,就可以避免
    misskiki
        7
    misskiki  
       2019-08-08 10:30:22 +08:00
    查询的时候 过滤"' and ===="
    我写了一个脚本 https://github.com/misskiki/myqiu_waf
    你可以直接在你的公共文件引入他可以防止 sql 注入 xss
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2310 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 00:03 · PVG 08:03 · LAX 16:03 · JFK 19:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.