Ich habe Probleme mit einer Gruppe von Hackern. sie gehackten Website paar Mal meine Kunden, und mein Kunde bekommt mehr wütend :(mein Mandant seine Datenbank verloren (die Hunderte Datensätze hat), und hatte alles, was ich bin nach einigen mehr Einführungen :(Wo verwende ich mysql_real_escape_string, um SQL Injection zu verhindern?
jetzt zu betreten;
- feste Dateiberechtigungen
- geänderten ftp und Host-Login-Info
- alle Remote-mysql greift gelöscht
arbeitet nun an SQL-Injection-Problem. ich habe mysql_real_escape_ Zeichenfolge an Admin-Panel-Anmeldeparameter. Wo sonst sollte ich diesen mysql_real_escape_string verwenden? Ich habe wenige E-Mail-Formulare auf der Website, ich glaube nicht, dass ich dort hinzufügen muss ...
Ich habe eine index.php als Startseite. Sollte ich etwas für diese Seite tun, um irgendwelche SQL-Injektion Angriff über URL wie index.php?somesql=
zu verhindern?
Bitte beraten Sie mich! Ich schätze so sehr !!! :(
zum Beispiel:.
ich einen solchen Code haben;
public function showDetails($id) {
// SQL Jobs Details
$this->sql_job = "SELECT * FROM jobs WHERE id=".mysql_real_escape_string($id);
$this->rst_job = mysql_query($this->sql_job);
$this->row_all = mysql_fetch_assoc($this->rst_job);
// SQL State
$this->sql_state = "SELECT title FROM state WHERE id=" . $this->row_all[$this->tbl_jobs['f4']];
$this->rst_state = mysql_query($this->sql_state);
$this->row_state = mysql_fetch_assoc($this->rst_state);
........
ist es genug mysql_real_escape_string für $ id zu verwenden nicht für $ this-> row_all [$ this-> tbl_jobs ['f4']]
Ich bin ein MSSQL-Typ, also hoffentlich das gilt - warum hat ein Website-Login sogar die Erlaubnis, etwas zu löschen? Wie für den Verlust einer Datenbank, wo sind die Sicherungen? –
"SELECT * FROM jobs WHERE id =". Mysql_real_escape_string ($ id) ist anfällig für sql injection. $ id = "1 oder Schlaf (50)" – rook
+1 zu Turm. mysql_real_escape_string ist keine magische Kugel, es ist nur eine String-Escaping-Funktion und funktioniert nur, wenn es in Anführungszeichen verwendet wird. – Cheekysoft