摘要:非常重要的就是字符集的設(shè)定一定要正確�����,否則還是有一些特殊字符能被構(gòu)造用于注入�����。執(zhí)行語句之前恩��,貌似就是這么簡(jiǎn)單�����,我們就告別了注入��,感覺有點(diǎn)虛幻��。
首先����,什么是sql注入?
用大白話說就是:當(dāng)一個(gè)人在訪問你的應(yīng)用時(shí)�,需要輸入�����,他的輸入是一些特殊的字符����,你沒有對(duì)輸入進(jìn)行過濾處理導(dǎo)致他的輸入改變了你的sql語句的功能���,實(shí)現(xiàn)他自己的目的����,通過這種方式他可能能拿到很多權(quán)限�,從而實(shí)施自己的攻擊
以上的描述是很不嚴(yán)謹(jǐn)?shù)?��,如果想深入了解sql注入�,訪問下面的鏈接:
http://www.php.net/manual/zh/security.database.sql-injection.php
本文的目的其實(shí)不是讓大家知道什么是sql注入��,而是希望大家從此可以忘掉sql注入�����。
在實(shí)踐中���,肯定有很多經(jīng)驗(yàn)被總結(jié)出來�,避免sql注入,在以前的mysql和mysqli擴(kuò)展中�����,我們都需要手動(dòng)去處理用戶輸入數(shù)據(jù)����,來避免sql注入,這個(gè)時(shí)候你必須要非常了解sql注入�����,只有了解����,才能針對(duì)具體的注入方式采取有效措施
PDO_Mysql的出現(xiàn),可以讓你從sql注入的斗爭(zhēng)中抽身而去����,你只需要記住,創(chuàng)建一個(gè)pdo_mysql鏈接實(shí)例的時(shí)候��,設(shè)置合適的charset�,就再也不必為sql注入揪心了�。非常重要的就是字符集的設(shè)定一定要正確���,否則還是有一些特殊字符能被構(gòu)造用于sql注入���。
mysql:host=localhost;dbname=testdb;charset=utf8
執(zhí)行sql語句之前prepare
恩,貌似就是這么簡(jiǎn)單��,我們就告別了sql注入���,感覺有點(diǎn)虛幻����。
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/20633.html
