- Chung
- 0°C
- 11 年又 115 天
在PHP裡面如何做到基本的SQL injection防禦?
資訊安全一直是很頭痛的問題....我一直以來也在尋找最好的方式...但在尋找的過程中...至少也得做基本的防範措施...
基本方式一 啟動magic_quotes_gpc
magic_quotes_gpc是PHP內建的防禦SQL injection的基本手段...
能夠自動去將所有透過GET、POST傳值的資訊進行處理,把一些符號(例如單引號、雙引號)加入轉譯符號(反斜線)...
藉此來避免SQL injection的問題發生....
不過magic_quotes_gpc有個缺點就是了,如果使用者傳入的資料並非是攻擊字串???
可是在開啟magic_quotes_gpc的情況下他仍然會進行處理
這時候就會導致使用者的輸入資料與原本的不同,因此是否要啟動magic_quotes_gpc就看你個人選擇......
啟動magic_quotes_gpc很簡單,開啟你的php.ini,然後搜尋「magic_quotes_gpc」
把magic_quotes_gpc=off改成magic_quotes_gpc=on
預設情況下是開啟的
參考資訊 http://php.net/manual/en/security.magicquotes.php
https://innstory.com/story-在PHP裡面如何做到基本的SQLinjection防禦-267
