注册
登录
perl
通过准备和执行来避免SQL注入
返回
通过准备和执行来避免SQL注入
作者:
敢嫁就敢娶
发布时间:
2024-12-23 01:38:05 (1月前)
转自:
<p> <br/> 像一行代码</p><p>my $ sql_query =“SELECT * FROM Users WHERE user =‘$ user’;”;<br/>可能会在您的程序中引入SQL注入漏洞。为了避免这个,可以使用类似的东西</p><p>我的$ sth = …<br/> <br/></p>
收藏
举报
2 条回复
0#
回复此人
啊这回彻底死了
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <pre> <code> my $sth = $dbh->prepare("SELECT * FROM Users WHERE user='?'"); </code> </pre> <P> 这不起作用,因为它正在搜索文字 <code> '?' </code> 字符 - 不是参数。如果你试图为参数发送一个值,那么MySQL就像是,“你想让我用这个做什么?”因为查询没有参数占位符。 </p> <P> 如果要使用参数,则不能将参数占位符放在SQL查询中的字符串分隔符内,即使参数将采用字符串或日期时间值: </p> <pre> <code> my $sth = $dbh->prepare("SELECT * FROM Users WHERE user=?"); </code> </pre> <P> 下一个例子: </p> <pre> <code> $sql_query = "SELECT * FROM Users WHERE user='" . $user . "'"; $dbh->prepare($sql_query); $dbh->execute(); </code> </pre> <P> 这将运行查询,但它不安全。即使没有参数,您也可以准备任何查询。 </p> <P> 运用 <code> prepare() </code> 不是什么使查询安全从SQL注入。更安全的是使用参数来组合动态值,而不是像在本例中那样进行字符串连接。 </p> <P> 但是使用参数确实需要使用 <code> prepare() </code> 。 </p> <P> PS:你不需要放 <code> ; </code> 在SQL查询结束时,以编程方式一次运行一个SQL查询。只有在运行多个查询(例如SQL脚本或存储过程)时才需要分隔符。在你的例子中, <code> ; </code> 是无害的,但MySQL不需要它,它只会忽略它。 </p> </DIV>
编辑
登录
后才能参与评论
