个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
晚上好,
在我启用我的网站之前,我显然想确保它是安全的(或尽可能安全)。
我有一个搜索表单,一个用户可以将条目上传到数据库的机会,我想仅此而已。
所以我只想检查我应该做些什么来保护事物。首先,我的数据库由专用用户帐户(不是管理员或根用户)访问,所以我认为我已经锁定了这部分内容。
其次,在我所有的搜索查询中,我都有这种格式:
$result = mysql_query(
"SELECT *
FROM table
WHERE fieldname = '" . mysql_real_escape_string($country) . "'
AND county = '" . mysql_real_escape_string($county) . "'
ORDER BY unique_id DESC");
最后,在我的提交表单中的 $_POST 字段上,我在将变量插入数据库之前对其进行处理:
$variable = mysql_real_escape_string($variable);
$result = mysql_query(
"INSERT INTO table (columnone)
VALUES ($variable)";
谁能告诉我我还应该考虑什么,或者这是否可以接受?
一如既往地提前致谢,丹
最佳答案
代码看起来不错,但如果可能的话,您应该考虑使用 PDO 准备语句。
除此之外,请确保您的 PHP 代码用于连接 MySQL 的任何帐户都具有绝对最小的权限。大多数面向网络的脚本不需要更改/删除/创建类型权限。大多数只需更新/插入/选择/删除就可以逃脱,甚至更少。这样,即使您的代码级安全出现严重错误,恶意用户也无法向您发送 ';删除表学生 -- 类型查询(回复:bobby-tables.com)
关于MySQL 安全检查,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7017486/
27
4
0
晚上好, 在我启用我的网站之前,我显然想确保它是安全的(或尽可能安全)。 我有一个搜索表单,一个用户可以将条目上传到数据库的机会,我想仅此而已。 所以我只想检查我应该做些什么来保护事物。首先,我的数据
首先,我知道在空指针上调用方法是未定义的行为。我还知道,因为这不应该发生,所以编译器可以(并且确实)假定 this 始终为非空。 但在实际代码中,您有时会不小心这样做。通常,它没有不良影响,当然 th
按照我目前安排代码的方式,下一行将为各种托管对象上下文运行。一些获取的实体将具有“complededDate”,而其他实体将没有“completedDate”属性。 let task = retrie
codeigniter 的安全性中的一件事是检查 uri 是数字还是我们期望的东西! 这是代码: $this->load->helper('form'); $this->load->libra
在访问其 errorMessage 属性之前检查 jsonObject 是否未定义的最短语法是什么? var jsonObject = SomeMethodReturningAnObject(); i
现在我正在使用 j 安全检查和 md5 来验证我的 jsp 页面。我想在将密码存储到数据库之前加盐。由于在学校的访问受限,我无权创建触发器来注入(inject)一些盐。还有其他方法吗? 这是我的 Re
我的应用程序中有一个类似 ORM 的微型组件,用于处理基本更新/删除操作的查询生成,但我需要在查询级别建立一些安全性,因为主键是自动确定的(第二级肛门,如果你愿意的话)。 按照设计,每当我更新或删除一
我是一名优秀的程序员,十分优秀!