- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
我的问题是关于数据库连接和SQL注入的应用程序。我正在使用下面提供的代码成功连接到我的数据库。我想问一下:
foreach如何停止SQL注入?
是否有更好,更有效的方法来使连接更安全?
如果将dbconnect.php包含在另一个文件(例如global.php)中,而该连接又包含在实际使用数据库的主文件中,则该连接是否仍会工作并向我提供数据库中的有效数据?是吗
example_file.php:
<?php
//MySQL Database Connect
include './includes/dbconnect.php';
//This stops SQL Injection in POST vars
foreach ($_POST as $key => $value) {
$_POST[$key] = mysql_real_escape_string($value);
}
//This stops SQL Injection in GET vars
foreach ($_GET as $key => $value) {
$_GET[$key] = mysql_real_escape_string($value);
}
?>
<?php
$con = mysql_connect("localhost","username","password");
if (!$con){ die('Could not connect: ' . mysql_error()); }
mysql_select_db("databasename", $con);
?>
最佳答案
foreach如何停止SQL注入?
这真的非常重要,因此我要大声说出来,希望人们可以理解……
没有!
“为什么不呢?”,我听到你问。好吧,我年轻的padawan,是因为:
它只转义字符串
假设有一个网站,用户可以通过该网站查看他们的病历。为了使用户能够过滤与特定疾病相关的记录,可以允许其id
将疾病指定为查询参数:
http://www.example.com/health/fetchmyrecords.php?illness=123
开发人员首先在您的问题中应用foreach
循环,然后假定“ phe,我可以安全地进行SQL注入-不用担心!”,然后这样做:
$res = mysql_query("
SELECT *
FROM health_records
WHERE user = $_SESSION[uid]
AND illness = $_GET[illness]
");
while ($row = mysql_fetch_array($res)) print_r($row);
SELECT *
FROM health_records
WHERE user = 987
AND illness = 123 OR 1
WHERE
子句解析为:
WHERE (user = 987 AND illness = 123) OR 1
mysql_real_escape_string()
转义字符串(线索在名称中)。它不能用于转义任何其他SQL令牌:not
number literals;不是
identifiers;当然不是SQL关键字或特殊字符。这些令牌必须以其他方式保护。
$_GET
和
$_POST
数组中。
mysql_real_escape_string()
不一定会停止SQL注入。您还必须正确引用
String Literals:
'
”)或双引号(“
"
”)字符括起来。
NO_BACKSLASH_ESCAPES
SQL模式,则
mysql_real_escape_string()
不能安全地转义用于双引号的字符串。因此,为了安全起见,您必须:
mysql_real_escape_string()
之前,您必须首先告诉MySQL客户端库,服务器将使用哪种字符编码来解释此类字符串-通常通过调用
mysql_set_charset()
(但是,有一些与编码相关的注入,即使这样做也不会失败如果您使用的是旧版客户端库)。
mysql_set_charset()
NO_BACKSLASH_ESCAPES
或使用单引号文字
mysql_real_escape_string()
mysql_real_escape_string()
确实应该被视为反模式。永远不要使用它。
mysql_real_escape_string()
的新课程或教程,上帝都会杀死一只小猫。有人会不会想到小猫?!
mysql_
为前缀的那些PHP函数。它们最初是在MySQL v3.23的PHP v2.0中引入的,自2006年以来未添加任何新功能。自2011年6月以来,该手册包含有关在新代码中使用它们的警告,并且在PHP v5.5中已正式弃用它们。 。
关于php - 它们如何工作:DB-Connect和SQL注入(inject)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23373888/
我已阅读有关依赖注入(inject)的信息。然后来了 构造函数注入(inject), setter/getter 注入(inject) 二传手注入(inject) 接口(interface)注入(in
我正在研究依赖注入(inject)模式。我看过很多例子,其中一个典型的例子是使用 XxxService/XxxRepository 作为例子。但是在我看来,按照UML的概念,类XxxRepositor
我开始使用 Google Guice。 我有一个简单的问题: javax.inject 的 @Inject 注释和 com.google.inject 的 有什么区别@Inject 一个 ? 谢谢。
当使用构造函数注入(inject)工厂方法时,依赖的属性不会得到解析。但是,如果在解析依赖的组件之前解析了工厂方法,则一切都会按预期工作。此外,当仅使用属性注入(inject)或构造函数注入(inje
我有这样的事情: class Root { public Root(IDependency dep) {} } class Dependency:IDependency { p
听完Clean Code Talks ,我开始明白我们应该使用工厂来组合对象。因此,例如,如果 House有一个 Door和 Door有一个 DoorKnob , 在 HouseFactory我们创建
情况:我需要在一些 FooClass 中进行惰性依赖实例化,所以我通过 Injector类作为构造函数参数。 private final Injector m_injector; public Foo
在编写代码时,我们应该能够识别两大类对象: 注入(inject)剂 新品 http://www.loosecouplings.com/2011/01/how-to-write-testable-cod
这个问题是关于 Unity Container 的,但我想它适用于任何依赖容器。 我有两个具有循环依赖关系的类: class FirstClass { [Dependency] pub
如果我有 10 个依赖项我需要注入(inject)并且不想在构造函数中有 10 个参数,我应该使用哪种注入(inject)模式? public class SomeClass { privat
我在使用 Angular2 DI 时遇到了问题。我尝试将一个类注入(inject)另一个类,它引发了以下错误: 留言:"Cannot resolve all parameters for 'Produ
对依赖注入(inject)还很陌生,我想弄清楚这是否是一种反模式。 假设我有 3 个程序集: Foo.Shared - this has all the interfaces Foo.Users -
我正在尝试了解 Angular 14 的变化,尤其是 inject()我可以将模块注入(inject)功能的功能,我不需要为此创建特殊服务..但我想我弄错了。 我正在尝试创建一些静态函数来使用包 ng
希望这个问题不是太愚蠢,我试图掌握更高级的编程原理,因此试图习惯使用 Ninject 进行依赖注入(inject)。 因此,我的模型分为几个不同的 .dll 项目。一个项目定义了模型规范(接口(int
我最近一直在大量使用依赖注入(inject)、测试驱动开发和单元测试,并且开始喜欢上它。 我在类中使用构造函数依赖,这样我就可以为单元测试注入(inject)模拟依赖。 但是,当您实际需要生产环境中的
我有下面的代码来使用 Guice 进行依赖注入(inject)。第一个是使用构造函数注入(inject),而另一个是直接在字段上方添加 @Inject。这两种方式有什么区别吗? Guice官网似乎推荐
这个问题在这里已经有了答案: Angular2 Beta dependency injection (3 个答案) 关闭 7 年前。 我正在使用 angular2 测试版。并在使用 @Inject
有没有可能做这样的事情? (因为我尝试过,但没有成功): @Injectable() class A { constructor(private http: Http){ // <-- Injec
我很恼火必须通过 Constructor 传递管道对象,因为我想为业务实体或要传递的值保留构造函数参数。 所以我想通过 setter ,但只要这些 setter 没有被填充,我的包含依赖项的对象就不应
假设我有这个: SomePage.razor: @inject Something something @page "/somepage" My Page @code { // Using
我是一名优秀的程序员,十分优秀!