blocks|key|1102583|text|防止SQL注入(如果不使用准备好的语句)的基本思想是转义您的数据。|type|unstyled|depth|inlineStyleRanges|offset|length|style|BOLD|entityRanges|data|1102584|当您向SQL查询中注入一些预期的整数值时，请使用确保它是整数。|1102585|当表中有十进制/数字字段时，请使用。|1102586|当表中有字符串(char、varchar、text)字段时，使用API提供的函数转义字符串：|1102587|1102588|unordered-list-item|1102589|1102590|1102591|1102592|entityMap^0|Q|6|0|0|0|0|0|0|0|0|0^^$0|@$1|2|3|4|5|6|7|T|8|@$9|U|A|V|B|C]]|D|@]|E|$]]|$1|F|3|G|5|6|7|W|8|@]|D|@]|E|$]]|$1|H|3|I|5|6|7|X|8|@]|D|@]|E|$]]|$1|J|3|K|5|6|7|Y|8|@]|D|@]|E|$]]|$1|L|3|-4|5|6|7|Z|8|@]|D|@]|E|$]]|$1|M|3|-4|5|N|7|10|8|@]|D|@]|E|$]]|$1|O|3|-4|5|N|7|11|8|@]|D|@]|E|$]]|$1|P|3|-4|5|N|7|12|8|@]|D|@]|E|$]]|$1|Q|3|-4|5|6|7|13|8|@]|D|@]|E|$]]|$1|R|3|-4|5|6|7|14|8|@]|D|@]|E|$]]]|S|$]]

The basic idea to prevent SQL injections (if not using Prepared Statements) is to escape your data.

When you inject some expected integer value into an SQL query, make sure it's an integer, using <a href="http://fr2.php.net/intval" rel="nofollow"><code>intval()</code></a>.

When you have a decimal/numeric field in your table, use <a href="http://fr2.php.net/floatval" rel="nofollow"><code>floatval()</code></a>.

And when you have a string (char, varchar, text) field in your table, use the function provided by your API to escape strings :

<ul>
<li><a href="http://fr2.php.net/mysql_real_escape_string" rel="nofollow"><code>mysql_real_escape_string()</code></a></li>
<li><a href="http://fr.php.net/mysqli_real_escape_string" rel="nofollow"><code>mysqli_real_escape_string()</code></a></li>
<li><a href="http://fr.php.net/manual/en/pdo.quote.php" rel="nofollow"><code>PDO::quote()</code></a></li>
</ul>

blocks|key|1102498|text|我确实建议您返回参数化查询并正确地执行它。这是实现安全的唯一坚实道路。一旦你开始做这件事，很可能不会花太长时间。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|1102499|你也应该知道，网站从来没有“完成”。当你启动一个网站时，你的工作才刚刚开始。当您了解到安全问题时，修复它们是其中的一部分，这也没有什么不同。|1102500|entityMap^0|0|0^^$0|@$1|2|3|4|5|6|7|F|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|G|8|@]|9|@]|A|$]]|$1|D|3|-4|5|6|7|H|8|@]|9|@]|A|$]]]|E|$]]

I really recommend that you go back and do it right with parameterized queries. It is the only solid path towards security. It likely won't take too long to do this once you get started.

You should also know that websites are never "finished". When you launch a site, your work has just begun. Fixing security troubles as you learn about them is part of it, and this is no different.

blocks|key|44210|text|您需要确保使用mysql_real_escape_string函数对在SQL查询中使用的任何用户提供的输入进行转义，如果允许用户提交文本来对所提供的文本运行htmlentities，则不可能使用XXS。如果可能的话，白名单用户提供了输入，并放弃了其他任何内容。|type|unstyled|depth|inlineStyleRanges|offset|length|style|CODE|entityRanges|data|44211|这只是触及了您可以做的事情的表面，但是查看查询、转义和防止跨站点脚本。|44212|entityMap^0|7|O|26|C|0|0^^$0|@$1|2|3|4|5|6|7|J|8|@$9|K|A|L|B|C]|$9|M|A|N|B|C]]|D|@]|E|$]]|$1|F|3|G|5|6|7|O|8|@]|D|@]|E|$]]|$1|H|3|-4|5|6|7|P|8|@]|D|@]|E|$]]]|I|$]]

You'll want to make sure any user provided inputs that get used in SQL queries are escaped using the PHP function <code>mysql_real_escape_string</code> and if you are letting people submit text to run <code>htmlentities</code> on the provided text so XXS isn't possible. If possible, white-list user provided input and discard anything else

This is just touching the surface of what you can do but look into query escaping and preventing cross site scripting.

blocks|key|1102629|text|使用PDO+(或者使用mysqli或一些抽象层)和准备好的语句。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|1102630|简单的例子：|1102631|$pdo+=+new+PDO($dsn);
$stmt+=+$pdo->prepare("SELECT+name+FROM+users+WHERE+id+=+?");
$stmt->execute(array($unsafe_id));
$name+=+$stmt->fetchColumn();|code-block|syntax|javascript|1102632|在本例中，使用$unsafe_id是安全的。引用手册页：|offset|length|style|CODE|1102633|调用PDO：：|1102634|+()和PDOStatement::execute()+for将使用不同参数值多次发出的语句，通过允许驱动程序协商查询计划和元信息的客户端和/或服务器端缓存，优化应用程序的性能，并通过消除手动引用参数的需要，帮助防止side攻击。|blockquote|1102635|1102636|如果驱动程序支持一种样式而不是另一种样式，那么PDO将模仿那些本机不支持它们的已准备好的语句/绑定参数，还可以重写命名的或问号样式的参数标记到更合适的东西。|1102637|entityMap^0|0|0|0|7|A|0|0|0|0|0^^$0|@$1|2|3|4|5|6|7|Y|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|Z|8|@]|9|@]|A|$]]|$1|D|3|E|5|F|7|10|8|@]|9|@]|A|$G|H]]|$1|I|3|J|5|6|7|11|8|@$K|12|L|13|M|N]]|9|@]|A|$]]|$1|O|3|P|5|6|7|14|8|@]|9|@]|A|$]]|$1|Q|3|R|5|S|7|15|8|@]|9|@]|A|$]]|$1|T|3|-4|5|6|7|16|8|@]|9|@]|A|$]]|$1|U|3|V|5|6|7|17|8|@]|9|@]|A|$]]|$1|W|3|-4|5|6|7|18|8|@]|9|@]|A|$]]]|X|$]]

Use PDO (or alternatively mysqli or some abstraction layer) and prepared statements.

Quick example:

<pre><code>$pdo = new PDO($dsn);
$stmt = $pdo-&gt;prepare("SELECT name FROM users WHERE id = ?");
$stmt-&gt;execute(array($unsafe_id));
$name = $stmt-&gt;fetchColumn();
</code></pre>

In this example, <code>$unsafe_id</code> will be safe to use. To quote the manual page:

<blockquote>
 Calling PDO::prepare() and
 PDOStatement::execute() for statements
 that will be issued multiple times
 with different parameter values
 optimizes the performance of your
 application by allowing the driver to
 negotiate client and/or server side
 caching of the query plan and meta
 information, and helps to prevent SQL
 injection attacks by eliminating the
 need to manually quote the parameters.
 
 PDO will emulate prepared
 statements/bound parameters for
 drivers that do not natively support
 them, and can also rewrite named or
 question mark style parameter markers
 to something more appropriate, if the
 driver supports one style but not the
 other.
</blockquote>

<blockquote>
 Possible Duplicate: 
 <a href="https://stackoverflow.com/questions/60174/how-to-prevent-sql-injection-in-php">How to prevent SQL injection in PHP?</a> 
</blockquote>



I am working for a video streaming website for my college library. I am using PHP and MySql. I have not used any parameterized queries in this project.

Recently I came to know about SQL injections. Now that my code is almost done and I have to submit the project in the next two days, how can I now ensure that my code is not SQL injection prone?

Converting the whole thing in to a parameterized interface is what I can't do now. What should I do now to avoid SQL Injections on my website?

PHP SQL injection prevention without parameter binding

翻译质量差，导致语言生硬或混乱。

没有提供实际的解决方法或示例。

解答不清晰，无法理解或解决问题。

页面排版不美观，阅读体验差。

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云AI代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

功能1上新10个字符

功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符。

功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符。

功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符

功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符

功能4上新

文章&问答评论现已支持表情

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验

社区富文本编辑器全新改版！诚邀体验～ 

精选全网热门MCP server，让你的AI更好用 🚀

💥开发者 MCP广场重磅上线！

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

 可能重复：我在为我的大学图书馆的一个视频流网站工作。我使用的是PHP和MySql。我没有在这个项目中使用任何参数化查询。最近，我了解了SQL注入的情况。既然我的代码已经基本完成，而且我必须在接下来的两天内提交项目，那么现在如何确保我的代码不容易使用SQL注入呢？把整件事转换成参数化的界面是我现在所不能做的。现在我应该做些什么来避免在我的网站上注入SQL？

问没有参数绑定的PHP SQL注入预防
EN

回答 4

Stack Overflow用户

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问没有参数绑定的PHP SQL注入预防EN

回答 4

Stack Overflow用户

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问没有参数绑定的PHP SQL注入预防
EN