des*_*ing 7 php mysql security
我的网站上有一个php文件,我连接到db,获取一些记录并将它们列在同一个文件中.
mysql_connect("localhost", "blabla", "blabla") or die(mysql_error());
mysql_select_db("blabla") or die(mysql_error());
$blabla1 = mysql_query("SELECT * FROM gallery WHERE id_cat=1");
$blabla2 = mysql_query("SELECT * FROM gallery WHERE id_cat=2");
$blabla3 = mysql_query("SELECT * FROM gallery WHERE id_cat=3");
那么,我需要做些什么来保障安全吗?像sql-injection或其他任何东西.什么都没有.它只是www.blabla.com/gallery.php.
Pek*_*ica 10
此代码段非常安全,因为查询字符串中没有变量.
为了安全地工作,以防有一天你必须处理变量 - 无论是直接来自用户还是来自其他数据源 - 你可能想切换到支持参数化查询的mySQL库,比如PDO.这些可以完全消除注入的危险,因为它们可以自动转移传入的数据.
如果您坚持使用这些mysql_*函数,请确保使用mysql_real_escape_string()转义所有传入的数据并确保它们插入到一对单引号中.