偶然关注数据库安全有关问题,如下
日期:2014-05-17 浏览次数:20568 次
偶然关注数据库安全问题,如下
一张表 id字段为主键 自增
如果要删除某条数据
那么
"delete from test where id=".$_POST['id']
问题就是有没有可能这样是不安全的
"delete from test where id=".$_POST['id']
$_POST['id'] = 2 or 1=1 之类的情况
会产生这种情况吗,导致全部删除
------解决方案--------------------
有啊,所以一般对数值类型也加引号
"delete from test where id='$_POST[id]'"
------解决方案--------------------
有可能。这就是常常说的防sql注入。转义特殊字符。
------解决方案--------------------
加引号后只要有转义处理就无可能
------解决方案--------------------
intval
------解决方案--------------------
方法一:在php.ini中设置:magic_quotes_gpc = Off
方法二: $str=stripcslashes($str)
一张表 id字段为主键 自增
如果要删除某条数据
那么
"delete from test where id=".$_POST['id']
问题就是有没有可能这样是不安全的
"delete from test where id=".$_POST['id']
$_POST['id'] = 2 or 1=1 之类的情况
会产生这种情况吗,导致全部删除
------解决方案--------------------
有啊,所以一般对数值类型也加引号
"delete from test where id='$_POST[id]'"
------解决方案--------------------
有可能。这就是常常说的防sql注入。转义特殊字符。
------解决方案--------------------
加引号后只要有转义处理就无可能
------解决方案--------------------
intval
------解决方案--------------------
方法一:在php.ini中设置:magic_quotes_gpc = Off
方法二: $str=stripcslashes($str)
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
