-1
Безопасен ли этот способ для вставки данных в БД?Избегайте ввода MySQL и XSS
$var = mysql_real_escape_string(htmlspecialchars(stripcslashes($_POST["address"]), ENT_QUOTES, "ISO-8859-1"));
A
ответ
2
Нет «серебряной пули».
Но, возможно, один из самых эффективных способов для защиты от инъекции SQL, чтобы использовать подготовленные заявления:
http://dev.mysql.com/doc/refman/5.0/en/sql-syntax-prepared-statements.html
Другой, не менее эффективная защита заключается в использовании самых современных, безопасный API, MySql доступны: либо Mysqli (объектно-ориентированный) или PDO SQL:
http://php.net/manual/en/mysqlinfo.api.choosing.php
Вот ссылка хорошей ссылки о SQL инъекций, и как вы можете снизить риски в вашем МЫСЕ QL код:
http://php.net/manual/en/security.database.sql-injection.php
Два руководящих принципов я настоятельно призываю вас следовать:
1) Вы должны НЕ использовать старый, устаревший MySql API для любого нового кода. Вместо этого используйте MySQLi или PDO.
2) Вы должны NOT разрешить ввод исходного кода в любом месте около оператора SQL. Осторожно проверяйте свои данные и, если это возможно, используйте подготовленные заявления.
IMHO ...
+0
Вопрос был также направлен на XSS, где я бы просто добавил использовать htmlspecialchars при выводе из БД, а не когда вы его вставляете –
Смежные вопросы
- 1. Предотвращение ввода mysql и xss atack
- 2. Избегайте XSS в пользовательской функции Twig?
- 3. Избегайте уязвимости XSS в winforms C#
- 4. Избегайте XSS с вводом BBode и выходом HTML
- 5. Избегайте XSS и допускайте некоторые html-теги с JavaScript
- 6. XSS: проверка ввода с сервера
- 7. Разница xss чистая и глобальная фильтрация xss
- 8. Избегайте ошибок ввода пользователем
- 9. Избегайте фокуса фонового ввода
- 10. Избегайте повторной ошибки ввода
- 11. Избегайте ввода скриптов в поля ввода
- 12. Избегайте ввода кода байта Java
- 13. Избегайте ввода структуры в функции
- 14. Избегайте манипуляции ввода формы html
- 15. Вывод ввода пользователя - предотвращение для xss
- 16. избегайте повторной записи в mysql
- 17. CakePhp: избегайте атаки XSS, сохраняя непринужденность использования торта
- 18. Избегайте дубликатов в MySql.
- 19. Избегайте повторяющихся записей MySQL и PHP
- 20. PHP json_encode и XSS
- 21. Усовершенствования XSS и CSRF
- 22. Извлеченные данные и XSS
- 23. Платежные шлюзы и XSS
- 24. Атаки XSS и PHP
- 25. Autobean и XSS issue
- 26. WYSIWYG и XSS
- 27. XSS и метатеги
- 28. XSS и htmlentities
- 29. JS Eval() и XSS
- 30. Неверные данные и XSS
no. это не. вы используете устаревшую библиотеку БД. Вы также уничтожаете свои данные специальными шарами/stripslashes. –
Нет «серебряной пули». Но, возможно, одним из наиболее эффективных способов защиты от внедрения SQL является использование подготовленных операторов: http://dev.mysql.com/doc/refman/5.0/en/sql-syntax-prepared-statements.html – paulsm4
Возможный дубликат [Как предотвратить SQL-инъекцию в PHP?] (Http://stackoverflow.com/questions/60174/how-to-prevent-sql-injection-in-php) –