用 MySQLi 准备足够了吗？ [关闭]

Question

我正在编写一个社交辩论应用程序，我担心准备好的陈述的安全性。为什么这么困扰我？因为社交网络需要大量的用户数据，其中一些可能是恶意的。

我只想知道 MySQLi 的预处理语句功能是否足以防止最常见的 SQL 注入类型。这可能以前在网络上的某个地方被问过，但是，由于网络上有大量过时的信息，很难知道是否有任何发现。

例如，我听说过 PDO 上的各种漏洞利用，但有些网站说没有漏洞利用。这就是混乱的来源。我知道每天都会发现许多漏洞。但至少可以防止最流行的攻击。

而且，如果有任何其他保护 SQL 查询的方法，请在您的回答中指出。

Answer 1

Prepared statements 是防止 MySQL 注入的好方法。但是 XSS 攻击呢？这些查询不会阻止用户提交 HTML 或 JavaScript 代码。如果您不采取其他步骤，它们只会更改您的 HTML 代码（如果您输出原始数据库结果）并注入到不需要的站点的链接。

关于预处理语句：

准备好的语句防止任何输入作为变量离开其范围。也就是说，每一个“结尾引用”之类的都会被转义并变得无害。

SQL 注入几乎是不可能的。但是……谁说，原生的prepared statement就够了？如果你相信你的本地准备方法。好的。如果没有，请尝试自己打破它。编写测试用例来证明，最基本的，也许一些更复杂的用例不能破坏你的准备语句方法。