那些遇到过的问题

在用户生成的SQL-regex中避免SQL注入

Kal*_*uld 3 php regex mysql sql-injection

我正在创建一个站点,其中用户不幸地必须提供在MySQL WHERE子句中使用的正则表达式.当然,我必须验证用户输入以防止SQL注入.该网站是用PHP制作的,我使用以下正则表达式检查我的正则表达式:

/^([^\\\\\']|\\\.)*$/
Run Code Online (Sandbox Code Playgroud)

由于PHP处理正则表达式的方式,这是双重转义.它应该工作的方式是只匹配安全的正则表达式,而没有未转义的单引号.但大多数是自学成才,我想知道这是否是一种安全的方式.

Nea*_*all 9

如果使用预准备语句,则无法进行SQL注入.您应该始终使用预准备语句.

关于昂贵的正则表达,Roborg提出了一个很好的观点.

归档时间:

查看次数:

2686 次

最近记录:

13 年,2 月 前
相关归档
在写上下文中不能使用方法返回值 461
如何删除非字母数字字符? 331
Laravel:获取基本网址 167
PHP错误:"zip扩展和解压缩命令都丢失,跳过." 113
允许在Laravel 5.4中使用用户名或电子邮件登录 22
需要数据模型的建议 10
正则表达式从任何HTML标记(style ="")中删除HTML属性? 8
仅匹配Ruby regexp中的行首 7
匹配正则表达式中的+ 6
在NLTK解析器中使用整数/日期作为终端 6
难疑归档
Docker与虚拟机有何不同? 3523
如何检查对象是否是数组? 2581
如何动态合并两个JavaScript对象的属性? 2338
如何使用java.net.URLConnection来触发和处理HTTP请求 1903
带请求正文的HTTP GET 1896
如何在Bash中将变量设置为命令的输出? 1513
为什么要使用getter和setter/accessors? 1472
如何在PHP中使用bcrypt进行散列密码? 1230
为特定提交生成git补丁 1144
检查SQL Server中是否存在表 1068