안녕하세요, 모두 실험 중이며 포럼을 구현할 웹 사이트를 만들기 시작했습니다. 웹 사이트에 영향을 미칠 수있는 보안 문제를 조사하기 시작했습니다. 사이트 간 스크립팅 및 SQL 주입 공격과 같은 영역.SQL 인젝션 공격 방지
모든 HTML 태그를 제거하는 연구에서 XSS가 방지됩니다. SQL 특수 문자를 제거하여 SQL 주입 공격을 막을 수 있습니까?
<?php
require "dbconn.php";
$mnam = strip_tags($_GET['blogentername']);
$mcom = strip_tags($_GET['blogmessage']);
$approve = 'N';
$dte = gmdate("d-M-Y H:i:s");
$mnam = mysql_real_escape_string($user);
$mcom = mysql_real_escape_string($mcom);
$query = "INSERT INTO blogentry VALUES ('".$mnam."','".$dte."','".$mcom."','".$approve."','','')";
$results = mysql_query($query)
or die(mysql_error());
header('Location:messages.php?messagesent=1');
?>
덕분에 당신을 위해 시간 앤디
코드에 SQL 특수 문자가 제거되지 않습니다. 나는 "SQL 특수 문자"같은 것이 없다고 말하고 싶습니다. –
OWASP를 읽는 것이 좋습니다 – Esailija
HTML을 만들 때 XSS가 ** ** 텍스트를 올바르게 인코딩하는 것을 방지하는 방법이 있습니다. – SLaks