PHPの流入を阻止したいのでアドバイスをお願いします

PHP のインジェクション反対のアドバイス?

この投稿は、u010572351 によって 2013-06-27 21:10:49 に最終編集されました 私がこれまでに知っている SQL 攻撃は、「%」のような多数の特殊文字を入力することで実装されています。ログイン インターフェイスでの SQL 攻撃を防ぎたい場合は、

ユーザー名とパスワードに特殊文字が含まれないことはわかっていますが、特殊文字が含まれる限り、それらを直接削除します。

また、アドスラッシュは一般的に何に使用されますか?専門家は、初心者はあまりにも知識が少なすぎるため、アンチインジェクションについてもっと情報を共有してください。

主な理由は、次のことがあまり明確ではないためです:
magic_quotes_gpc=off
magic_quotes_gpc=on
追加スラッシュ()
ストリップスラッシュ()
str_replace();

ログインや検索などのエントリ ページでない場合は、PHP ページ上の通常の DQL ステートメントのインジェクションの問題を考慮する必要はありません。

共有先:
-----解決策---------

// 适用各个 PHP 版本的用法<br />
if (get_magic_quotes_gpc()) {<br />
    $lastname = stripslashes($_POST['lastname']);<br />
}<br />
else {<br />
    $lastname = $_POST['lastname'];<br />
}<br />
<br />
// 如果使用 MySQL<br />
$lastname = mysql_real_escape_string($lastname);<br />
<br />
echo $lastname; // O\'reilly<br />
$sql = "INSERT INTO lastnames (lastname) VALUES ('$lastname')";

-----解決策---------------------
使いやすいかどうかは使ってみないと分からないそれ。
------解決策-----

if (get_magic_quotes_gpc()) {  //如果 magic_quotes_gpc开启了，则会影响 post、get、cookie 请求的数据，单/双引号、反斜杠会在前面自动加上反斜杠，因此要先用stripslashes去掉反斜杠以免出现双重转义<br />
    $lastname = stripslashes($_POST['lastname']);<br />
}<br />
else {  //否则取原数据<br />
    $lastname = $_POST['lastname'];<br />
}

- - ----解決策--------------------
magic_quotes_gpc スイッチ
php 5.3 はデフォルトで閉じられています
php 5.4 キャンセルされました

get_magic_quotes_gpc() の戻りを判断することはすでに古いことです


-----解決策---------
SQL文が記述されていればOK標準化された方法で問題ありません。たとえば、文字列連結を使用する代わりに、置換を使用します。引用符を正しく使用してください。 PDOを使用します。
絶対的な安全は不可能です。コストと大きく関係します。