实用工具小学数学练习字帖生成在线画板函数绘制拼音字母表在线词典黄历查询中国历史 Excel函数模拟请求 json格式化

栏目分类:

子分类:

名师互学网

名师互学网用户登录

快速导航

当前搜索

当前分类

前沿技术软件开发系统运维产品运营生活办公面试经验考试题库

实用工具

学习工具小学数学练习字帖生成在线画板函数绘制拼音字母表在线词典黄历查询亲戚关系计算安全期计算中国历史 Excel函数模拟请求 json格式化浏览器指纹

名师互学网 > IT > 面试经验 > 面试问答

“ mysqli_real_escape_string”是否足以避免SQL注入或其他SQL攻击？

面试问答更新时间：2026-04-01 09:01:45 发布时间：1607天前 IT归档最新发布模块sitemap 名妆网法律咨询聚返吧英语巴士网伯小乐网商动力

有人可以告诉我它是否安全或是否容易受到SQL Injection攻击或其他SQL攻击吗？

正如uri2x所说的，请参阅SQL注入

mysql_real_escape_string()

。

防止SQL注入的最佳方法是使用准备好的语句。它们将数据（您的参数）与指令（SQL查询字符串）分开，并且不会为数据留下任何空间污染查询的结构。准备好的语句解决了应用程序安全性的基本问题之一。

对于无法使用准备好的语句（例如

LIMIT

）的情况，针对每个特定目的使用非常严格的白名单是保证安全的唯一方法。

// This is a string literal whitelistswitch ($sortby) {    case 'column_b':    case 'col_c':        // If it literally matches here, it's safe to use        break;    default:        $sortby = 'rowid';}// only numeric characters will pass through this part of the pre thanks to type casting$start = (int) $start;$howmany = (int) $howmany;if ($start < 0) {    $start = 0;}if ($howmany < 1) {    $howmany = 1;}// The actual query execution$stmt = $db->prepare(    "SELECt * FROM table WHERe col = ? ORDER BY {$sortby} ASC LIMIT {$start}, {$howmany}");$stmt->execute(['value']);$data = $stmt->fetchAll(PDO::FETCH_ASSOC);

我认为上面的代码即使在晦涩的情况下也不受SQL注入的影响。如果您使用的是MySQL，请确保关闭仿真准备。

$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

转载请注明：文章转载自 www.mshxw.com

本文地址：https://www.mshxw.com/it/416372.html

上一篇 MySQL计数子串的实例，然后按

下一篇如何遍历mysql结果集

面试问答相关栏目本月热门文章

热门相关搜索

路由器设置木托盘宝塔面板儿童python教程心情低落朋友圈 vim 双一流学科专升本我的学校日记学校西点培训学校汽修学校情书化妆学校塔沟武校异形模板西南大学排名最精辟人生短句 6步教你追回被骗的钱南昌大学排名清朝十二帝北京印刷学院排名北方工业大学排名北京航空航天大学排名首都经济贸易大学排名中国传媒大学排名首都师范大学排名中国地质大学(北京)排名北京信息科技大学排名中央民族大学排名北京舞蹈学院排名北京电影学院排名中国戏曲学院排名河北政法职业学院排名河北经贸大学排名天津中德应用技术大学排名天津医学高等专科学校排名天津美术学院排名天津音乐学院排名天津工业大学排名北京工业大学耿丹学院排名北京警察学院排名天津科技大学排名北京邮电大学(宏福校区)排名北京网络职业学院排名北京大学医学部排名河北科技大学排名河北地质大学排名河北体育学院排名

关于我们文章归档网站地图联系我们

版权所有 (c)2021-2022 MSHXW.COM

ICP备案号：晋ICP备2021003244-6号