MySQL查询的安全方案
使用预处理语句防止SQL注入
如删除id=1的用户
delete from user where id=1;# 在浏览器中通过get方式传递id值,GET ?id=1,如user/delete?id=1 # 如果浏览器恶意传值。如下user/delete?id=1 or 1=1 # 值为1= or 1=1,现在的SQL语句为:delete from user where id=1 or 1=1 # 这条语句永远成立,这条语句会将user表的数据全部删除# 处理语句delete from user where id=?; # MySQL会预先对这条语句进行结构解析,在传值`1 or 1=1`那么就不会再将or当成结构来解析了(prepare)
写入数据库的数据要进行特殊字符的转义
查询错误信息不要返回给用户,将错误记录到日志
PHP端尽量使用PDO对数据库进行操作,PDO对预处理有很好的支持。MySQLi也有,但扩展性不如PDO,效率高于PDO。
延伸:MySQL的其他安全设置
定期做数据库的备份
不给查询用户root权限,合理分配权限
关闭远程访问数据的权限
修改root口令,不用默认口令,使用比较复杂的口令
删除多余的用户
改变root用户的名称
限制一般用户浏览其他库
限制用户对数据文件的访问权限
作者:openoter
链接:https://www.jianshu.com/p/dc09d6a7b0ae