21,893
社区成员
发帖
与我相关
我的任务
分享如果只允许输入英文+数字的情况,能否完美防止SQL注入?
用户输入的字符,只允许,大小写英文+数字. 且首位必须是英文.
能否完美的防止sql注入的.
能否完美的防止sql注入的.
...全文
请发表友善的回复…
发表回复
黄袍披身 2021-01-22
- 打赏
- 举报
我用的MVC框架.自己不接触pdo这块.
我就是想如果用户post过来的字符串,直接当查询条件的情况,
如果只允许post过来的是英文和数字的组合,是否还有被注入的可能呢.[/quote]
大部分来说 MVC框架都会有做防范,当然不排除一些个别框架有漏洞的.
creatorwpy 2021-01-12
- 打赏
- 举报
查询mysql前,检查用户输入的字符,只能包含字母和数字,其它字符都不允许,mysql查询时,将字符通过单引号包起来,就不会存在sql注入了
Uprogram 2021-01-08
- 打赏
- 举报
没问题,防止SQL注入的方法不就是要转义特殊字符嘛,现在连特殊字符都输入不了了,把验证逻辑放后端那肯定没问题了。
trainee 2020-12-31
- 打赏
- 举报
如果只输英文和数字确实可防目前的SQL注入,SQL注入的高危输入是引号、分号以及某些编码的多字节字符。
对特定字段这招可以用。但总不能所有字段都这种限制。你应该建立一个广谱的防SQL注入方法
tottyandbaty 2020-12-30
- 打赏
- 举报
你要了解下PDO ,与输入无关。
qq_39047451 2020-12-30
- 打赏
- 举报
sql语句不就是英文么,条件里面where 1=1,注入的sql不都是这么写嘛?
Stephen_112 2020-12-30
- 打赏
- 举报
框架已经帮你把所有的SQL转义了,所以说不要自己写SQL,用框架带的方法即可防止SQL注入
下雨的声音丶 2020-12-30
- 打赏
- 举报
理论上来说确实可以
Y.A.K.E 2020-12-30
- 打赏
- 举报
我用的MVC框架.自己不接触pdo这块.
我就是想如果用户post过来的字符串,直接当查询条件的情况,
如果只允许post过来的是英文和数字的组合,是否还有被注入的可能呢.
Y.A.K.E 2020-12-30
- 打赏
- 举报
我是说查询或者登陆.
比如$user = 用户post的用户字符串.
然后用$user构造sql查询语句.
where user = '用户输入的user' AND pass = '用户输入的密码'
如果不允许英文和数字外的其他字符.是否能防止注入呢.
