Heim  >  Artikel  >  Backend-Entwicklung  >  我觉得mysql防注入没有必要啊?

我觉得mysql防注入没有必要啊?

WBOY
WBOYOriginal
2016-06-20 12:34:59950Durchsuche

最近在研究sql注入防止,都是在转义用户输入的一些特殊字符,我觉得好像没有这个必要啊。

用户登陆,我只允许数字、字母、下划线,如果出现特殊字符我直接提示不对,都不会dql。

你们说对吗?


回复讨论(解决方案)

你在客户端限制的还是服务端限制的?

你在客户端限制的还是服务端限制的?


服务器端啊,php 正则如果发现不是我允许的字符出现,直接提示有特殊字符,不会dql,也不会给这些特殊字符注入的机会,

当然,这是我的想法,我不知道有没有什么弊端

那别人还千方百计的防注入干嘛

当然,这是我的想法,我不知道有没有什么弊端



楼主最近在看好心作怪?

人家多高级的系统,只要想,都能破解。我们只要不让菜鸟们破了就行。其他的听天由命

想破坏你的程序的人肯定不会按照正常人那样去用你的页面的,他们能绕过你的输入框,比如直接在地址栏操作,如果你不加防备,一有缺口就能让别人注入。。。

我只允许数字、字母、下划线

如果是这样的话,那么确实不存在数据库注入了

sql注入不仅仅是输入框 还有地址栏上的传参

人家多高级的系统,只要想,都能破解。我们只要不让菜鸟们破了就行。其他的听天由命


基本赞同。


你在客户端限制的还是服务端限制的?


服务器端啊,php 正则如果发现不是我允许的字符出现,直接提示有特殊字符,不会dql,也不会给这些特殊字符注入的机会,
既然是服务器端验证,只要验证到位,应该没问题了~~~

新手路过学习

你判断参数时候已经是在做防注入工作了.

关注,好多国内开源系统随便注入,但是像drupal就不行了,完全是数据库抽象层,没法注入

------------------------------------------------------ AutoCSDN签名档------------------------------------------------------

码农场——码农播种代码、放牧思想的农场! 

我感觉嘛  注册登录的时候进行验证只是能防止出现万能密码这种东西 类似注释掉SLQ后边的判断语句啥的.. = =  网站注入更多的还是网页传参

用PDO 吧,严格 按照格式来,那么你就不用担心 注入了

楼主理解的防sql注入的方式太片面化了,特殊字符转义和参数的强校验都属于防sql注入的手段。两者配合效果才好。

用户提交的请求,过滤非法字符。

16#绝对正确

防注入啊,防什么的!都是防君子不防小人的!

你这样是直接在客户端上进行判断吗?要是在客户端上做判断的话,先不说在客户端上做判断安不安全,客户端做判断用JS,别人可以在客户端上设置JS脚本不加载,不执行JS!你的判断形同虚设,如果你用服务器端你还是要做SQL注入

有的时候不要太片面,防SQL注入的存在就有他存在的意义,在客户端上做单一判断只会让你的数据库崩溃,客户端是用户唯一的路径也是最危险的SQL出口,一般都是在客户端上进行一次过滤,在SQL上在防止一次SQL注入

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn