如果只允许输入英文+数字的情况,能否完美防止SQL注入?

Y.A.K.E 2020-12-29 05:17:26
用户输入的字符,只允许,大小写英文+数字. 且首位必须是英文.

能否完美的防止sql注入的.


...全文
747 10 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
10 条回复
切换为时间正序
请发表友善的回复…
发表回复
黄袍披身 2021-01-22
  • 打赏
  • 举报
回复
引用 4 楼 Y.A.K.E 的回复:
[quote=引用 2 楼 tottyandbaty 的回复:]你要了解下PDO ,与输入无关。


我用的MVC框架.自己不接触pdo这块.



我就是想如果用户post过来的字符串,直接当查询条件的情况,
如果只允许post过来的是英文和数字的组合,是否还有被注入的可能呢.[/quote]

大部分来说 MVC框架都会有做防范,当然不排除一些个别框架有漏洞的.
creatorwpy 2021-01-12
  • 打赏
  • 举报
回复
查询mysql前,检查用户输入的字符,只能包含字母和数字,其它字符都不允许,mysql查询时,将字符通过单引号包起来,就不会存在sql注入了
Uprogram 2021-01-08
  • 打赏
  • 举报
回复
没问题,防止SQL注入的方法不就是要转义特殊字符嘛,现在连特殊字符都输入不了了,把验证逻辑放后端那肯定没问题了。
trainee 2020-12-31
  • 打赏
  • 举报
回复
如果只输英文和数字确实可防目前的SQL注入,SQL注入的高危输入是引号、分号以及某些编码的多字节字符。 对特定字段这招可以用。但总不能所有字段都这种限制。你应该建立一个广谱的防SQL注入方法
tottyandbaty 2020-12-30
  • 打赏
  • 举报
回复
你要了解下PDO ,与输入无关。
qq_39047451 2020-12-30
  • 打赏
  • 举报
回复
sql语句不就是英文么,条件里面where 1=1,注入的sql不都是这么写嘛?
Stephen_112 2020-12-30
  • 打赏
  • 举报
回复
框架已经帮你把所有的SQL转义了,所以说不要自己写SQL,用框架带的方法即可防止SQL注入
下雨的声音丶 2020-12-30
  • 打赏
  • 举报
回复
理论上来说确实可以
Y.A.K.E 2020-12-30
  • 打赏
  • 举报
回复
引用 2 楼 tottyandbaty 的回复:
你要了解下PDO ,与输入无关。


我用的MVC框架.自己不接触pdo这块.



我就是想如果用户post过来的字符串,直接当查询条件的情况,
如果只允许post过来的是英文和数字的组合,是否还有被注入的可能呢.
Y.A.K.E 2020-12-30
  • 打赏
  • 举报
回复
引用 1 楼 qq_39047451 的回复:
sql语句不就是英文么,条件里面where 1=1,注入的sql不都是这么写嘛?


我是说查询或者登陆.
比如$user = 用户post的用户字符串.

然后用$user构造sql查询语句.

where user = '用户输入的user' AND pass = '用户输入的密码'

如果不允许英文和数字外的其他字符.是否能防止注入呢.

21,893

社区成员

发帖
与我相关
我的任务
社区描述
从PHP安装配置,PHP入门,PHP基础到PHP应用
社区管理员
  • 基础编程社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧