相关疑难解决方法(0)

如何在PHP中阻止SQL注入？

如果插入用户输入而不修改SQL查询,则应用程序容易受到SQL注入的攻击,如下例所示:

$unsafe_variable = $_POST['user_input']; 

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

Run Code Online (Sandbox Code Playgroud)

这是因为用户可以输入类似的内容value'); DROP TABLE table;--,查询变为:

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

Run Code Online (Sandbox Code Playgroud)

可以采取哪些措施来防止这种情况发生？

php mysql sql security sql-injection

And*_*son

2016 10-01

2776
推荐指数

28
解决办法

166万
查看次数

什么时候是PHP的eval邪恶？

在我用PHP开发的这些年里,我总是听说使用eval()是邪恶的.

考虑以下代码,使用第二个(更优雅)选项是否有意义？如果没有,为什么？

// $type is the result of an SQL statement
// e.g. SHOW COLUMNS FROM a_table LIKE 'a_column';
// hence you can be pretty sure about the consistency
// of your string
$type = "enum('a','b','c')";

// possibility one
$type_1 = preg_replace('#^enum\s*\(\s*\'|\'\s*\)\s*$#', '', $type);
$result = preg_split('#\'\s*,\s*\'#', $type_1);

// possibility two
eval('$result = '.preg_replace('#^enum#','array', $type).';');

Run Code Online (Sandbox Code Playgroud)

php eval

Pie*_*ing

2014 02-28

82
推荐指数

9
解决办法

4万
查看次数