台灣最大程式設計社群網站
線上人數
1472
 
會員總數:246087
討論主題:189663
歡迎您免費加入會員
討論區列表 >> AJAX / JSON / jQuery >> AJAX PHP 安全性問題
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
AJAX PHP 安全性問題
價值 : 10 QP  點閱數:2204 回應數:3
樓主

DIng
初學者
2 1
17 4
發送站內信

自己寫了個JavaScript 的 mysql_query function
內容如下

JS

PHP



在使用mysql_query之前會先對裡面的值



這樣的code 有哪些地方有危險? 又有何方式可以補強?

本篇文章發表於2010-06-01 14:33
1樓
作者回應

DIng
檢舉此回應
4 是 "\\\"" -> "\""
5 是 "\\\'" -> "\'"

9 - 12 分別是 \n \f \r \t

最後是
replace(/("|')/,"& q u o t ;");

這種跳溢字元,, 實在不好發問= =
本篇文章回覆於2010-06-01 14:36
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
回應

叮咚
檢舉此回應
整個程式的概念就是個大錯誤吧!?
你直接讓 user 輸入指令(或者讓懂的人看到你直接接指令作事),我就會手賤想 try 幾個特殊指令試試耶。
完全不用想 SQL injection 的技巧,直接登堂入室、直搗黃龍。
這就像在你家門鈴旁設了一個自爆鈕,真是太刺激了∼∼
本篇文章回覆於2010-06-03 03:04
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
3樓
回應

ezboy
檢舉此回應
你要傳入php查詢的值會很複雜嗎?
如果只是單純數字+英文直接判斷輸入的資料是否只有英文或數字
如果有其它字元一律ban掉
本篇文章回覆於2010-06-03 10:08
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.