php – 如何在LAMP应用程序中阻止SQL注入?

@H_301_0@ 以下是开始对话的几种可能性:

>初始化时撤消所有输入.
>转义每个值,最好在生成sql时.

第一个解决方案是次优的,因为如果你想在sql以外的任何东西中使用它,你就需要对每个值进行转换,比如在网页上输出它.

第二种解决方案更有意义,但手动转义每个值是一种痛苦.

我知道prepared statements,但是我发现MySQLi很麻烦.此外,将查询与输入分开关系到我,因为尽管使订单正确是至关重要的,但很容易出错,从而将错误的数据写入错误的字段.

正如@Rob Walker所述,参数化查询是您最好的选择.如果您正在使用最新最好的PHP,我强烈建议您查看 PDO(PHP数据对象).这是一个本机数据库抽象库,它支持广泛的数据库(当然包括MysqL)以及带有命名参数的预处理语句.

相关文章

Hessian开源的远程通讯,采用二进制 RPC的协议,基于 HTTP 传输。可以实现PHP调用Java,Python,C#等多语...
初识Mongodb的一些总结,在Mac Os X下真实搭建mongodb环境,以及分享个Mongodb管理工具,学习期间一些总结...
边看边操作,这样才能记得牢,实践是检验真理的唯一标准.光看不练假把式,光练不看傻把式,边看边练真把式....
在php中,结果输出一共有两种方式:echo和print,下面将对两种方式做一个比较。 echo与print的区别: (...
在安装好wampServer后,一直没有使用phpMyAdmin,今天用了一下,phpMyAdmin显示错误:The mbstring exte...
变量是用于存储数据的容器,与代数相似,可以给变量赋予某个确定的值(例如:$x=3)或者是赋予其它的变...