Будет ли это хорошая анти-инъекция функция sql?

В настоящее время я использую эту функцию в качестве контрмеры для моего сайта, просто задаваясь вопросом, может ли он эффективно блокировать SQL-инъекции. Поскольку я проверил свой веб-сайт с помощью Accunetix WPS, ZAP и NetSparker, из которых только ZAP сказал, что мой веб-сайт был уязвим для инъекций type = 'ZAP' или же '1=1',

Должен ли я волноваться?

function anti_injection($sql){
$sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$sql);
$sql = trim($sql);
$sql = strip_tags($sql);
$sql = addslashes($sql);
if($mysqlsupport == 1)
{
$sql = mysql_real_escape_string($sql);
}
return $sql;
}

0

Решение

Короткий ответНет, это не будет хорошей анти-инъекционной функцией.

Существует множество инструментов, которые работают и работают хорошо, поэтому нам, как разработчикам, не нужно пытаться охватить все аспекты защиты наших баз данных.

Пожалуйста, посмотрите, по крайней мере, PDO.
http://php.net/manual/en/book.pdo.php

3

Другие решения

Других решений пока нет …

По вопросам рекламы ammmcru@yandex.ru
Adblock
detector