你好,游客 登录 注册 搜索
背景:
阅读新闻

MySQL的安装与配置祥解6

[日期:2006-09-23] 来源:Linux公社  作者:Linux [字体: ]

编程需要注意的一些问题

不管是用哪种程序语言写连接MySQL数据库的程序,有一条准则是永远不要相信用户提交的数据!

对于数字字段,我们要使用查询语句:SELECT * FROM table WHERE ID='234',不要使用SELECT * FROM table WHERE ID=234这样的查询语句。MySQL会自动把字串转换为数字字符并且去除非数字字符。如果用户提交的数据经过了mysql_escape_string处理,这样我们就可以完全杜绝了sql inject攻击,各种编程语言该注意的问题:

1)所有Web程序:

a)尝试在Web表单输入单引号和双引号来测试可能出现的错误,并找出原因所在。

b)修改URL参数带的%22 ('"'), %23 ('#'), 和 %27 (''')。

c)对于数字字段的变量,我们的应用程序必须进行严格的检查,否则是非常危险的。

d)检查用户提交的数据是否超过字段的长度。

e)不要给自己程序连接数据库的用户过多的访问权限。

2)PHP:

a)检查用户提交的数据在查询之前是否经过addslashes处理,在PHP 4.0.3以后提供了基于MySQL C API的函数mysql_escape_string()。

3)MySQL C API:

a)检查查询字串是否用了mysql_escape_string() API调用。

4)MySQL++:

a)检查查询字串是否用了escape和quote处理。

5)Perl DBI:

a)检查查询字串是否用了quote()方法。

6)Java JDBC:

a)检查查询字串是否用了PreparedStatement对象。

linux
相关资讯       mysql 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款