那些遇到过的问题

主机名可以注入SQL吗?

0 php mysql sql sql-injection code-injection

这是PHP中用于客户端主机名的超全局:

$_SERVER['REMOTE_HOST']
Run Code Online (Sandbox Code Playgroud)

它通常看起来像:

ecIP-AD-DRE-SS.us-west-1.compute.amazonaws.com
IP-AD-DRE-SS.bb.dnainternet.fi
IP-AD-DRE-SS.dynamic.lounea.fi
Run Code Online (Sandbox Code Playgroud)

有人可以更改其主机名,以便它包含能够进行SQL注入的内容吗?此外,如果您只从用户输入中删除单引号,是否会阻止SQL注入?

Ale*_*sky 7

有人可以更改其主机名,以便它包含能够进行SQL注入的内容吗?

有趣的问题.也许?但这没关系,因为......

此外,如果您只从用户输入中删除单引号,是否会阻止SQL注入?

绝对不.忘记处理引号并使用带有绑定参数的预处理语句.

编辑:另请注意,您通常不希望您的Web服务器为每次点击进行DNS查找,因此$_SERVER['REMOTE_HOST']通常应该取消设置.如果您需要偶尔进行身份验证或日志记录查找,您可以在PHP中进行临时.

归档时间:

查看次数:

76 次

最近记录:

7 年,1 月 前
如何在PHP中阻止SQL注入? 2776
哪些$ _SERVER变量是安全的? 96
更多相关链接
相关归档
MySQL:@variable与变量.有什么不同? 488
PHP:如何删除字符串中的所有不可打印字符? 147
用于创建新用户的SQL Server脚本 87
如果阻塞里面的echo语句? 53
在PHP中检查memory_limit 32
如何通过php获取网页的开放图谱协议? 25
PHP如何与Apache交互? 20
SQL"IS"和"="运算符有何不同? 16
将INSERT命令转换为UPDATE 11
如何ping MySQL数据库并使用PDO重新连接 10
难疑归档
如何检查字符串是否包含JavaScript中的子字符串? 7430
如何判断Bash中是否存在常规文件? 3069
如何退出PostgreSQL命令行实用程序:psql 1770
删除包含特定字符串的文本文件中的行 1670
makefile中.PHONY的目的是什么? 1535
如何计算列表项的出现次数? 1417
漂亮的git分支图 1290
如何让jQuery执行同步而非异步的Ajax请求? 1173
如何以CSV格式输出MySQL查询结果? 1118
如何在div中垂直对齐文本? 1102