请教SQL注入的问题

skyaspnet 2010-07-27 03:47:32
请问在PHP中如果使用了存储过程,可以防止SQL注入吗?

请教大侠给出比较完善的解决方案,谢谢!
...全文
128 12 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
12 条回复
切换为时间正序
请发表友善的回复…
发表回复
skyaspnet 2010-08-02
  • 打赏
  • 举报
回复
感谢大家
skyaspnet 2010-07-29
  • 打赏
  • 举报
回复
[Quote=引用 9 楼 cunningboy 的回复:]

引用 8 楼 skyaspnet 的回复:

引用 4 楼 xuzuning 的回复:

只要你不是不加判断的使用传入的数据,就没有SQL注入的危险


MYSQL的存储过程使用了参数,这样即使不作判断(先不考虑XSS等问题),至少对数据库不会有破坏吧?谢谢!

调用存储过程,传递参数和查询语句传递参数都应该对参数进行判断,推荐使用bind_param方式来传递,这样才能确保没……
[/Quote]

也就是说绑定之前还需要再进行相应的判断和过滤?谢谢!
CunningBoy 2010-07-28
  • 打赏
  • 举报
回复
[Quote=引用 8 楼 skyaspnet 的回复:]

引用 4 楼 xuzuning 的回复:

只要你不是不加判断的使用传入的数据,就没有SQL注入的危险


MYSQL的存储过程使用了参数,这样即使不作判断(先不考虑XSS等问题),至少对数据库不会有破坏吧?谢谢!
[/Quote]
调用存储过程,传递参数和查询语句传递参数都应该对参数进行判断,推荐使用bind_param方式来传递,这样才能确保没有注入的风险。
skyaspnet 2010-07-28
  • 打赏
  • 举报
回复
[Quote=引用 4 楼 xuzuning 的回复:]

只要你不是不加判断的使用传入的数据,就没有SQL注入的危险
[/Quote]

MYSQL的存储过程使用了参数,这样即使不作判断(先不考虑XSS等问题),至少对数据库不会有破坏吧?谢谢!
qian_lian 2010-07-27
  • 打赏
  • 举报
回复
学习。。。。。。
davy152486 2010-07-27
  • 打赏
  • 举报
回复
and char(124)+user+char(124)=0 and '%'='
myhope88 2010-07-27
  • 打赏
  • 举报
回复
一般用参数再加上过滤方法都可以有效防止
xuzuning 2010-07-27
  • 打赏
  • 举报
回复
只要你不是不加判断的使用传入的数据,就没有SQL注入的危险

CunningBoy 2010-07-27
  • 打赏
  • 举报
回复
恩,是的
skyaspnet 2010-07-27
  • 打赏
  • 举报
回复
[Quote=引用 1 楼 cunningboy 的回复:]

关键是你的参数传递前要用mysql_real_escape_string去除控制字符
或者使用bing_param的方式传递参数给SQL
[/Quote]

使用bing_param可以防止SQL注入吧?
CunningBoy 2010-07-27
  • 打赏
  • 举报
回复
关键是你的参数传递前要用mysql_real_escape_string去除控制字符
或者使用bing_param的方式传递参数给SQL

21,893

社区成员

发帖
与我相关
我的任务
社区描述
从PHP安装配置,PHP入门,PHP基础到PHP应用
社区管理员
  • 基础编程社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧