关于 PHP 防注入的问题

This topic created in 2499 days ago, the information mentioned may be changed or developed.

大佬们，关于 php 的防 sql 注入请教个问题
我在用户注册的时候用 mysqli_real_escape_string();过滤了一遍然后写入数据库，然后要读取的时候直接获取不再进行过滤，这么写安全吗

7 replies • 2019-08-08 10:30:22 +08:00

xiaoz

Jul 30, 2019 via Android

看读取的时候参数是前端传递还是后端固定的，前端传的话还是再过滤一次吧。

Hanmo5888

Jul 31, 2019

@xiaoz 什么意思呢，我读取的时候就直接 mysqli_query ＋ mysqli_fetch_array 然后直接 echo，这样会有问题吗

Hanmo5888

Jul 31, 2019

@xiaoz 我理解你的意思了，谢谢大佬

Hanmo5888

Jul 31, 2019 via Android

@xiaoz 那如果是前端用 POST 传过来的能不能直接$_POST=mysqli_real_escape_string($c,$_POST);

jfcherng

Aug 1, 2019

前端想傳什麼是你能控制的？

hongzx

Aug 6, 2019

建议使用 mysql 预处理，就可以避免

misskiki

Aug 8, 2019

查询的时候过滤"' and ===="
我写了一个脚本 https://github.com/misskiki/myqiu_waf
你可以直接在你的公共文件引入他可以防止 sql 注入 xss