mysql_real_escape_string()PHP コードでand関数を使用してHtmlspecialchars()、SQL インジェクションと XSS から保護しています。これらの機能をハッキングする可能性はありますか? はいの場合、コードを改善できるようにする方法を説明していただけますか。
どうもありがとうございました。
7068 次
2 に答える
1
PHP が更新されている場合は、mysqli または PDO と準備済みステートメントを使用してみてください
しかし、あなたの質問に答えるには、YES mysql_real_escape_string() を注入できますが、そうするのは非常に複雑です。これが例です
于 2012-11-20T15:25:09.213 に答える
0
SQL インジェクションを防ぐために最初に行うことは、PDOと準備済みステートメントを使用することです。または少なくともMysqli。mysqlは非推奨であるため、mysqliへの移行は非常に簡単で最適化されています
使用するmysql_real_escape_strings場合は、正しくエスケープし、本当に必要な場所である限り、安全である必要があります。ほとんどの場合、間違いは人間の側にあり、関数のせいではないことを覚えておいてください:P
于 2012-11-20T15:26:36.603 に答える