我覺得mysql防注入沒有必要啊?
最近在研究sql注入防止,都是在轉義使用者輸入的一些特殊字元,我覺得好像沒有這個必要啊。
使用者登陸,我只允許數字、字母、底線,如果出現特殊字元我直接提示不對,都不會dql。
你們說對嗎?
分享到:
------解決方案--------------------
你在用戶端限制的還是服務端限制的?
------解決方案--------------------
那別人還千方百計的防注入幹嘛
------解決方案--------------------
引用:
當然,這是我的想法,我不知道有沒有什麼弊端
樓主最近在看好心作怪?
------解決方案--------------------
人家多進階的系統,只要想,都能破解。我們只要不讓菜鳥們破了就行。其他的聽天由命
------解決方案--------------------
想破壞你的程式的人肯定不會按照正常人那樣去用你的頁面的,他們能繞過你的輸入框,比如直接在地址欄操作,如果你不加防備,一有缺口就能讓別人注入。。。
------解決方案--------------------
我只允許數字、字母、底線
如果是這樣的話,那麼確實不存在資料庫注入了
------解決方案--------------------
sql注入不僅僅是輸入框 還有地址欄上的傳參
------解決方案--------------------
引用:
人家多進階的系統,只要想,都能破解。我們只要不讓菜鳥們破了就行。其他的聽天由命
基本贊同。
------解決方案--------------------
引用:
Quote: 引用:
你在用戶端限制的還是服務端限制的?
伺服器端啊,php 正則如果發現不是我允許的字元出現,直接提示有特殊字元,不會dql,也不會給這些特殊字元注入的機會,
既然是伺服器端驗證,只要驗證到位,應該沒問題了~~~
------解決方案--------------------
新手路過學習
------解決方案--------------------
你判斷參數時候已經是在做防注入工作了.
------解決方案--------------------
關注,好多國內開源系統隨便注入,但是像drupal就不行了,完全是資料庫抽象層,沒法注入
------------------------------------------------------AutoCSDN簽名檔------------------------------------------------------
碼農場——碼農播種代碼、放牧思想的農場!
------解決方案--------------------
