那些遇到过的问题

我如何保护这个PHP脚本?

Jos*_*vis 2 php security sql-injection

我担心sql注入,所以我该如何预防呢?我正在使用这个脚本,但有几个人告诉我它非常不安全,如果有人可以通过告诉我它会如何变得很好:).

源代码:

if(isset($_POST['lastmsg']))
{
$lastmsg=$_POST['lastmsg'];
$result=mysql_query("SELECT * FROM updates WHERE item_id<'$lastmsg' ORDER BY item_id DESC LIMIT 16");
$count=mysql_num_rows($result);
while($row=mysql_fetch_array($result))
{
$msg_id=$row['item_id'];
$message=$row['item_content'];
Run Code Online (Sandbox Code Playgroud)

And*_*rew 6

永远不会将用户($_POST$_GET)的信息直接放入查询中.如果它们是数字,请始终先将它们转换为整数(int)$varintval($var); 如果他们是字符串,总是逃避它们mysql_real_escape_string().

阅读http://us2.php.net/mysql_real_escape_string并使用它.

归档时间:

查看次数:

141 次

最近记录:

14 年,8 月 前
mysql_real_escape_string VS addslashes 40
更多相关链接
相关归档
PHP_excel的替代方案 132
如何在没有HTML包装器的情况下保存DOMDocument的HTML? 106
任何等价于.=在PHP中添加到字符串的开头? 92
为什么WordPress被认为程序设计不佳? 53
php中的短唯一ID 47
为什么在常规调用函数时更喜欢call_user_func_array? 46
PHP的PDO可以限制为单个查询吗? 6
如何在java 8中将DH密钥大小扩展到2048 6
为什么通过HTTP的AJAX身份验证被认为是不安全的? 5
IPSec与OpenSSL对比PGP 2
难疑归档
如何修改现有的,未删除的提交? 7669
如何丢弃Git中的未分级更改? 4562
如何在Python中安全地创建嵌套目录? 3909
撤消尚未推送的Git合并 3695
是什么 !!(不是)JavaScript中的运算符? 2906
检查JavaScript对象中是否存在密钥? 2750
设置JavaScript函数的默认参数值 2277
如何从Bash脚本检查程序是否存在? 2032
将文件从主机复制到Docker容器 1391
JavaScript中是否有常量? 1118