SQL 注入可以超越 POST 和 GET 请求吗？

SQL 注入是否会在 POST 和 GET 请求之外发生？

SQL 注入会利用 Web 应用程序中的漏洞，这些漏洞在将用户输入合并到之前未充分净化用户输入SQL 查询。虽然 POST 和 GET 方法是这种攻击的常见途径，但 SQL 注入也可以通过其他方式发生。

在提供的代码中，采用 mysql_real_escape_string 对用户输入进行编码，从而降低 SQL 注入的风险。然而，代码的安全性在很大程度上依赖于这种编码的一致应用。

检查示例代码

1. POST 方法

代码示例使用用户输入初始化变量：

$name = trim($_POST['username']);
$mail = trim($_POST['email']);
$password = trim($_POST['password ']);

在将用户信息存储到数据库之前，对其进行了充分编码：

$sql =
"INSERT INTO
   clients
 SET
   name='" . mysql_real_escape_string($name) . "',
   mail='" . mysql_real_escape_string($mail) . "',
   password='" . mysql_real_escape_string(sha1($password)) . "'";

2。 GET 方法

从 URL 初始化变量：

$videoID = trim($_GET['videoID']);
$userID = trim($_GET['userID']);

SQL 查询再次采用适当的编码：

$sql =
"SELECT
   videoID
 FROM
   likes
 WHERE
   videoID = '" . mysql_real_escape_string($videoID) . "' AND UID = '" . mysql_real_escape_string($userID) . "' LIMIT 1";

结论

您提供的代码不存在SQL注入漏洞，感谢一致使用 mysql_real_escape_string 对用户输入进行编码。必须注意的是，无论其来源如何，都必须明智地对所有用户输入应用编码。为了进一步增强安全性，请考虑采用更现代的方法，将 PDO 与准备好的语句结合使用。

以上是SQL 注入可以超越 POST 和 GET 请求吗？的详细内容。更多信息请关注PHP中文网其他相关文章！