【经理】php-杭州-L
大家对于php mysqlinjection都是用的什么方法啊
【助理】福州-痞子吴
连在一起突然看不懂了
sql注入你用prepare不就好了
【经理】php-杭州-L
已经打开php
里的一个防sql注入的参数
【助理】福州-痞子吴
再保险以前把所有参数都先addslashes
【经理】php-杭州-L
magic_quotes_gpc
用pdo就可以完全防范了吗
【助理】福州-痞子吴
就替换几个字符的事情
addslashes()和stripslashes()和prepare
【经理】php-杭州-L
但感觉他们注入可以不输这种字符,用别的字符达成一样的效果
【助理】福州-痞子吴
不要用magic_quotes_gpc 不是不让你用,而是从php5.4开始,magic_quotes_gpc就没用了
【助理】福州-痞子吴
如果不信邪你可以试试,get_magic_quotes_gpc()可以获取到magic_quotes_gpc的设置状态,但是在php5.4之后,你不管怎么设置,这个获取到的都是FALSE
自己乖乖用addslashes()和stripslashes()和prepare
【经理】浙江-PHP-猪尾巴
这个对php5.4以后的版本都有效吗【助理】福州-痞子吴
不会试试么你看的版本都多老了 【经理】php-杭州-L
我的是php5.3返回的int0
【经理】php-杭州-L
addslashes()和stripslashes()这俩个都要用一下过滤参数?
【助理】福州-痞子吴
addslashes()是添加转义,stripslashes()是删除
【经理】php-杭州-L
我把提交的特殊字符打出来是都转义了的a
