我觉得mysql防注入没有必要啊?
用户登陆,我只允许数字、字母、下划线,如果出现特殊字符我直接提示不对,都不会dql。
你们说对吗?
回复讨论(解决方案)
你在客户端限制的还是服务端限制的?
你在客户端限制的还是服务端限制的?
服务器端啊,php 正则如果发现不是我允许的字符出现,直接提示有特殊字符,不会dql,也不会给这些特殊字符注入的机会,
当然,这是我的想法,我不知道有没有什么弊端
那别人还千方百计的防注入干嘛
当然,这是我的想法,我不知道有没有什么弊端
楼主最近在看好心作怪?
人家多高级的系统,只要想,都能破解。我们只要不让菜鸟们破了就行。其他的听天由命
想破坏你的程序的人肯定不会按照正常人那样去用你的页面的,他们能绕过你的输入框,比如直接在地址栏操作,如果你不加防备,一有缺口就能让别人注入。。。
我只允许数字、字母、下划线
如果是这样的话,那么确实不存在数据库注入了
sql注入不仅仅是输入框 还有地址栏上的传参
人家多高级的系统,只要想,都能破解。我们只要不让菜鸟们破了就行。其他的听天由命
基本赞同。
你在客户端限制的还是服务端限制的?
服务器端啊,php 正则如果发现不是我允许的字符出现,直接提示有特殊字符,不会dql,也不会给这些特殊字符注入的机会,
既然是服务器端验证,只要验证到位,应该没问题了~~~
新手路过学习
你判断参数时候已经是在做防注入工作了.
关注,好多国内开源系统随便注入,但是像drupal就不行了,完全是数据库抽象层,没法注入
------------------------------------------------------ AutoCSDN签名档------------------------------------------------------
码农场——码农播种代码、放牧思想的农场!我感觉嘛 注册登录的时候进行验证只是能防止出现万能密码这种东西 类似注释掉SLQ后边的判断语句啥的.. = = 网站注入更多的还是网页传参
用PDO 吧,严格 按照格式来,那么你就不用担心 注入了
楼主理解的防sql注入的方式太片面化了,特殊字符转义和参数的强校验都属于防sql注入的手段。两者配合效果才好。
用户提交的请求,过滤非法字符。
16#绝对正确
防注入啊,防什么的!都是防君子不防小人的!
你这样是直接在客户端上进行判断吗?要是在客户端上做判断的话,先不说在客户端上做判断安不安全,客户端做判断用JS,别人可以在客户端上设置JS脚本不加载,不执行JS!你的判断形同虚设,如果你用服务器端你还是要做SQL注入
有的时候不要太片面,防SQL注入的存在就有他存在的意义,在客户端上做单一判断只会让你的数据库崩溃,客户端是用户唯一的路径也是最危险的SQL出口,一般都是在客户端上进行一次过滤,在SQL上在防止一次SQL注入