这是一个创建于 4316 天前的主题,其中的信息可能已经有所发展或是发生改变。
看到很多被注入的例子 都是因为未对POST或者GET做判断处理,难到PHP不对POST或者GET请求做过滤处理就会被注入吗?
 |
1
wdkwdkwdk 2014 年 3 月 26 日 via Android
不一定啊,要看你有没有用来对数据库做操作
|
 |
2
justfindu 2014 年 3 月 26 日
不管什么语言都会这样吧~ 不做过滤~ 然后操作数据库~ 然后就没有然后了~
|
 |
3
fsw90628 2014 年 3 月 26 日
用 Prepared Statements 应该可以解决类似问题了。
http://php.net/manual/en/pdo.prepared-statements.php p.s. 好久不看,PHP 的官方文档界面更新了。 |
 |
4
bearcat001 2014 年 3 月 26 日  1
有句话叫:永远不要相信用户
所以对于所有可以输入或者修改的数据,一定进行严格过滤和判断。越早处理,可控性越高。 |
 |
5
scusjs 2014 年 3 月 26 日
最好都过滤一下,养成好的习惯
|
 |
6
slixurd 2014 年 3 月 26 日
参数绑定也是大部分数据库API都提供的.
在多次查询同一语句下效率高而且不会被SQL注入 但是如果查询次数少的话,参数绑定写起来麻烦而且没什么性能提升 |
 |
7
Mutoo 2014 年 3 月 26 日
不只是 POST 和 GET,request header 里面的任何一部分都有可能。只要你引用了来自用户的数据,都要小心,像 Cookies 就经常被忽视。
|
 |
8
wvidc 2014 年 3 月 26 日
这是一个很值得深究的问题
|
 |
9
sneezry 2014 年 3 月 26 日
有用User-Agent注入的例子呢。
|
 |
10
davansy 2014 年 3 月 26 日 1
不要相信任何用户输入的数据!
|
 |
11
whuhacker 2014 年 3 月 26 日
使用一个框架,让框架帮你做这些事情
|
 |
12
tywtyw2002 2014 年 3 月 26 日 via iPhone
如ajax调用。js做过一遍过滤,服务器还要去做一遍
|
 |
13
sb 2014 年 3 月 26 日
大二时老师说了一个词叫 数据清洗。
进来的所有数据都要清洗一下,不然会被恶意构造语句获取你的用户数据。 |
 |
14
wwek 2014 年 3 月 26 日
强烈建议 php操作数据库用 PDO
|
|
15
wwek 2014 年 3 月 26 日
|
 |
16
liuser 2014 年 3 月 27 日
PDO 参数绑定就不错。
|
 |
17
hiddenman 2014 年 3 月 27 日
不管是POST,还是GET,都可以构造。
|
Select Language