SQL语句应该考虑哪些安全性?
Sql查询的安全方案【就是考察sql注入】
1.使用预处理语句,防Sql注入
【propare提高sql语句的执行效率】
delete from user where id=1
GET ?id=1
user/delete/?id=1
user/delete/?id=1 or 1=1
delete from user where id=1 or 1=1;//1=1整体为真,表中数 据会删除
2.写入数据库的数据要进行特殊字符的转义
3.查询错误信息不要返回给用户,将错误记录到日志。
延伸:mysql的其他安全设置
1.定期做数据备份
2.不给查询用户root权限,合理分配权限
3.关闭远程访问数据库权限
4.修改root口令,不用默认口令,使用较复杂的口令
5.删除多余的用户
6.改变root用户名称
7.限制一般用户浏览其他库
8.限制用户对数据文件的访问权限
真题:
为什么使用PDO和mysqli连接数据库会比mysql函数库更加安全。
因为pdo和mysqli支持预处理,可支持防止sql注入
网友评论