我已经建立了一个即将上线的网站,并且对防止SQL注入有几个问题,我知道如何使用mysqli_real_escape_string
,但是我只是想知道是否必须在所有我使用的变量上使用它正在获取我的SQL语句,是否在执行选择语句时还是在插入更新和删除时必须使用它?另外,在我将网站投入使用之前,您还建议我实施什么其他安全措施,谢谢您的帮助!
任何查询,无论是读写的,持久的还是瞬时的,都可以注入。可以通过结束一个查询并运行一个单独的查询(可能使用mysqli
)来执行注入,这将使所需的查询变得无关紧要。
任何来自外部源的查询输入,无论是来自用户还是内部的输入,都应视为查询的参数,以及查询上下文中的参数。查询中的任何参数都需要参数化。这会导致参数化查询正确,您可以从中创建准备好的语句并使用参数执行。例如:
SELECT col1 FROM t1 WHERE col2 = ?
?
是参数的占位符。使用mysqli
,可以使用prepare
创建准备好的语句,使用bind_param
将变量(参数)绑定到参数,然后使用execute
运行查询。您根本不需要清理参数(实际上这样做是有害的)。 mysqli
为您做到了。整个过程将是:
$stmt = $mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();
[参数化查询和准备的语句之间也有重要区别。该语句在准备时未进行参数设置,因此容易被注入:
$stmt = $mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");
总结: