-2

PHP ページでの mysql 接続のハッカーに対するセキュリティが必要です。

root パスワードとは異なるデータベース ユーザーのパスワードを使用しています。そして、私はこのクエリを使用しました:

function make_safe2($safe) 
{
$safe = strip_tags(mysqli_real_escape_string(trim($_POST['bname'] . $_POST['why'] . $_POST['email'] . $_POST['submit'])));
return $safe; 
}

SQL インジェクションやその他のハッキング手法に対するセキュリティを保証できる方法は他にありますか? ログインページがありません。bname、why、email フィールドと送信ボタンを含むフォームがあります。送信ボタンにはエスケープ文字列が必要ですか? :P ばかげた質問だと思います。

SQL インジェクションやその他の方法を防止する他の方法の完全な構文があれば幸いです。:)

4

1 に答える 1

2

バインドされたパラメーターを持つ準備済みステートメントを使用する必要があります。

$stmt = mysqli_prepare($link, "INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
mysqli_stmt_bind_param($stmt, 'sssd', $code, $language, $official, $percent);

$code = 'DEU';
$language = 'Bavarian';
$official = "F";
$percent = 11.2;

/* execute prepared statement */
mysqli_stmt_execute($stmt);

ドキュメントを見る

この回答は、SQL インジェクションを防ぐ方法を理解するための完全なガイドです。

于 2013-03-10T15:35:40.597 に答える