mysql_real_escape_string（）和mysql_escape_是否足以确保应用安全

3回答

侃侃无极

我个人更喜欢准备好的陈述：<?php$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");if ($stmt->execute(array($_GET['name']))) {&nbsp; while ($row = $stmt->fetch()) {&nbsp; &nbsp; print_r($row);&nbsp; }}?>忽略使用其中一个*escape_string()功能时遗漏的一个或另一个特定变量是很容易的，但是如果所有查询都是准备好的语句，那么它们都很好，并且插值变量的使用会像拇指一样突出。但是，这还远远不足以确保您不会受到远程攻击：如果您通过&admin=1with GET或POST要求表明某人是管理员，则您的每个用户都可以在两到三秒钟内轻松升级其特权。努力。请注意，这个问题并不总是那么明显：)，但这是一种简单的方式来解释过多信任用户提供的输入的后果。

0

0

0