Попытка понять SQL-инъекцию

Question

Немного новичок в MySQL, но если я создаю страницу с помощью HTML, CSS & JS мне нужно использовать инструкции prepeard для предотвращения SQL-инъекций? Или только если я использую текст iput? Возможно, я использую текстовый ввод, не имеет значения, так как пользователь может редактировать файлы во время использования с помощью инструментов проверки браузера, чтобы добавить их в любом случае.

Если я использую PHP вместо HTML для включения, проще ли вводить код?

Допустим, я создал сайт с использованием Siteground, где я могу найти файлы, которые мне нужно редактировать, чтобы предотвратить это, PHP или MySQL?

Или мне нужно только беспокоиться об этом, если я напишу какой-то пользовательский код PHP/MySQL, который обрабатывает входящие данные в базу данных?

Или я задаю неправильный вопрос?

Спасибо!

-A

Answer 1

SQL инъекция это тип атаки, который состоит из пользователей написание вредоносного кода в качестве входных данных пользователя, а затем разместить его на сервер. Если сервер db выполняет такой код, тогда будут происходить плохие вещи.

Во избежание выполнения вредоносного SQL, предоставляемого при вводе пользователя, эквивалентно экранированию динамических параметров запросов. Это можно сделать либо на PDO, либо на mysqli_real_escape_string.

Итак, чтобы убедиться, что у вас нет возможности для SQL-инъекции, просто проверьте все места, где выполняются прямые команды MySQL, и убедитесь, что параметры экранированы.