1
私はデータベースにアクセスする前に$ _getまたは$ _postを使用しています。
私はそれが十分ではないと確信していますが、どれくらい安全ですか?私はそれをより安全にするためにいくつかの表現と組み合わせることができますか?
ありがとう!
これはどうですか? mysql_real_escape_string(htmlspecialchars($ value));
A
答えて
5
いいえ、それでは不十分です。 SQLインジェクション攻撃を防ぐには、mysql_real_escape_stringを使用する必要があります。
+0
が編集されました。 –
+0
@トニー、ええ、それは良く見えます。しかし、私は* raw *の値を保存します(例えば、 'htmlspecialchars'を使わないで)。値を取得していくつかのページに表示すると、 'htmlspecialchars'を使ってXSS攻撃を防ぐことができますが、エンコードされた文字列を保存する必要はありません。 –
+0
それでは、if(string_not_dangerous($ string)){save_normal_sting;} else {show(go_to_hell)}のような関数を作る方法がありますか? –
0
mysql_escape_string($ value)は、SQLクエリで使用される文字列をサニタイズするときに少し賢いです。
0
あなたは、データベースから引き出さデータを表示しているとき)(インジェクション攻撃(またはより良いまだ、PDOライブラリーのようなものでプリペアドステートメント)とはhtmlspecialcharsからデータベースを保護するために)(mysql_real_escape_stringのを使用する必要があります。
関連する問題
- 1. mysql_real_escape_string()はMySQL REGEXPに十分ですか?
- 2. このスクリプトをどのように改善できますか?
- 3. これをPythonでどのように改善するか?
- 4. このクエリを改善することはできますか?
- 5. このルックアッププログラムの効率をどのように改善できますか?
- 6. このコードはどこで改善できますか?
- 7. この挿入ソートルーチンをどのように改善できますか?
- 8. プレトレーニングはどのようにニューラルネットワークの分類を改善するのですか?
- 9. FlashでAJAXを改善することはできますか?
- 10. 検証を改善することはできますか?
- 11. このソートコードを改善するにはどうすればよいですか?
- 12. このprocを改善するにはどうすればよいですか?
- 13. このデータベースモデルを改善するにはどうすればよいですか?
- 14. ソーシャルネットワークのERダイアグラム、どうすれば改善できますか?
- 15. このjQueryコードをどうすれば改善できますか?
- 16. ウェブ開発のワークフローをどのように改善できますか?
- 17. 以下のコード行をどのように改善できますか?
- 18. Facebookプラグインのコメントを改善することができますか?
- 19. DataTriggerで「改行」をどのように一致させることができますか?私のXAMLで
- 20. このSQLコードは、置換を排除するためにどのように改善できますか?
- 21. matplotlibの画質をどのように改善しますか?
- 22. このストアドプロシージャを改善することは可能ですか?
- 23. java.lang.String.concatを改善できますか?
- 24. 下のコードでさらに改善ができますか?
- 25. 検索をどのように改善しますか?
- 26. この機能のパフォーマンスをどのように改善しますか?
- 27. どのように私は自分のアプリケーションでのマーキーを使用することができますか?
- 28. このlinq-to-xmlメソッドのパフォーマンスを改善できますか?
- 29. このSQLクエリのパフォーマンスを改善できますか?
- 30. どのように私はユーザーが自分のプラグインをインストールすることができますか?
'htmlspecialchars'は、データベースの入力を安全にすることとは関係ありません。データベースのエスケープ関数またはパラメータ化されたクエリ(PDO)を使用します。 – webbiedave
あなたの主体と身体の変化は、答えが不十分に見えます。あなたは「すべきか」と尋ねたようです。答えは「いいえ、あなたはすべきです」と思われます。だから私はあなたの変更を元に戻すことをお勧めします。 –