保护网站的最佳方法和途径

Question

我几乎已经准备好将我的网站转移到我的网络主机上了，但在此之前，我想让它得到尽可能好的保护。我听说过MySQL注入和你可能面临的其他问题，我该如何保护我的站点、MySQL数据库和文件不受它们的影响？

我将从mysql扩展改为mysqli或PDO，您有什么建议？

Answer 1

我个人会使用PDO，它比mysqli更好。如果您不知道mysql注入是将原始数据插入到查询中的地方，则如下所示：

$query = "SELECT * FROM users WHERE username='" .$_GET['user']. "' AND password='" .$_GET['password']. "'";

在不清理输入的情况下，如果有人输入admin作为用户名，输入' OR '1'='1作为密码，则查询变成：

SELECT * FROM users WHERE username='admin' AND password='' OR '1'='1'

这会导致查询忽略密码，并让您以管理员身份登录，只要您是1=1用户，它总是这样做的。只需使用mysql，您就可以使用mysql_real_escape_string($_GET['user'])来转义任何可能会影响查询的内容，比如数据库可以理解的“将会变成”。请注意，攻击者可以做比以管理员身份登录更糟糕的事情，例如，他们可以使用drop命令删除您的整个数据库结构，并注释掉后面的代码，或者实际上使用非常奇怪的外壳代码影响您的web服务器。

对于PDO或MySQLi，准备好的语句首先告诉数据库查询将是什么，然后发送信息，而不是将其实际放在查询中，如下所示：

$stm = $pdo->prepare("SELECT * FROM users WHERE username=? AND password=?");
$stm->execute(array($_GET['user'], $_GET['password']));

编辑:还有一件事，我认为仍然可以使用pdo进行mysql注入，但我不知道它是如何工作的，所以我建议多做一些研究，看看是否能找到什么。