摘要:非常重要的就是字符集的設(shè)定一定要正確���,否則還是有一些特殊字符能被構(gòu)造用于注入����。執(zhí)行語句之前恩���,貌似就是這么簡單����,我們就告別了注入���,感覺有點虛幻��。
首先���,什么是sql注入�����?
用大白話說就是:當(dāng)一個人在訪問你的應(yīng)用時�,需要輸入����,他的輸入是一些特殊的字符�����,你沒有對輸入進(jìn)行過濾處理導(dǎo)致他的輸入改變了你的sql語句的功能�,實現(xiàn)他自己的目的,通過這種方式他可能能拿到很多權(quán)限�,從而實施自己的攻擊
以上的描述是很不嚴(yán)謹(jǐn)?shù)模绻肷钊肓私鈙ql注入����,訪問下面的鏈接:
http://www.php.net/manual/zh/security.database.sql-injection.php
本文的目的其實不是讓大家知道什么是sql注入,而是希望大家從此可以忘掉sql注入���。
在實踐中����,肯定有很多經(jīng)驗被總結(jié)出來,避免sql注入���,在以前的mysql和mysqli擴(kuò)展中����,我們都需要手動去處理用戶輸入數(shù)據(jù)�,來避免sql注入,這個時候你必須要非常了解sql注入��,只有了解��,才能針對具體的注入方式采取有效措施
PDO_Mysql的出現(xiàn)��,可以讓你從sql注入的斗爭中抽身而去���,你只需要記住��,創(chuàng)建一個pdo_mysql鏈接實例的時候���,設(shè)置合適的charset,就再也不必為sql注入揪心了���。非常重要的就是字符集的設(shè)定一定要正確�����,否則還是有一些特殊字符能被構(gòu)造用于sql注入�����。
mysql:host=localhost;dbname=testdb;charset=utf8
執(zhí)行sql語句之前prepare
恩�,貌似就是這么簡單,我們就告別了sql注入���,感覺有點虛幻。
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/20633.html
