日期:2014-05-17  浏览次数:20791 次

我觉得mysql防注入没有必要啊?
最近在研究sql注入防止,都是在转义用户输入的一些特殊字符,我觉得好像没有这个必要啊。

用户登陆,我只允许数字、字母、下划线,如果出现特殊字符我直接提示不对,都不会dql。

你们说对吗?

------解决方案--------------------
你在客户端限制的还是服务端限制的?
------解决方案--------------------
那别人还千方百计的防注入干嘛
------解决方案--------------------
引用:
当然,这是我的想法,我不知道有没有什么弊端


楼主最近在看好心作怪?
------解决方案--------------------
人家多高级的系统,只要想,都能破解。我们只要不让菜鸟们破了就行。其他的听天由命
------解决方案--------------------
想破坏你的程序的人肯定不会按照正常人那样去用你的页面的,他们能绕过你的输入框,比如直接在地址栏操作,如果你不加防备,一有缺口就能让别人注入。。。
------解决方案--------------------
我只允许数字、字母、下划线

如果是这样的话,那么确实不存在数据库注入了
------解决方案--------------------
sql注入不仅仅是输入框 还有地址栏上的传参
------解决方案--------------------
引用:
人家多高级的系统,只要想,都能破解。我们只要不让菜鸟们破了就行。其他的听天由命

基本赞同。
------解决方案--------------------
引用:
Quote: 引用:

你在客户端限制的还是服务端限制的?

服务器端啊,php 正则如果发现不是我允许的字符出现,直接提示有特殊字符,不会dql,也不会给这些特殊字符注入的机会,

既然是服务器端验证,只要验证到位,应该没问题了~~~
------解决方案--------------------
新手路过学习
------解决方案--------------------
你判断参数时候已经是在做防注入工作了.
------解决方案--------------------
关注,好多国内开源系统随便注入,但是像drupal就不行了,完全是数据库抽象层,没法注入
------------------------------------------------------AutoCSDN签名档------------------------------------------------------
码农场——码农播种代码、放牧思想的农场! 

------解决方案--------------------