使用pg_escape_literal PHP函数,我正在转义我的用户输入数据,如下所示:
<?PHP
$dbconn = pg_connect('dbname=foo');
$escaped = pg_escape_literal($_GET['name']);
pg_query("INSERT INTO participants (name) VALUES ({$escaped})");
?>
我是Postgresql的新手,我的问题是:
>有没有办法实现这个代码的sql注入?
>此代码中是否还有其他未处理的漏洞?
解决方法:
由于您不信任任何用户输入并且相应地将其转义,因此没有注入.
此外,您可以使用prepared statements来确保您不会忘记任何转义,并为句子采用正确的数据类型.
请记住,如果你只忘记一次逃脱,你的整个系统都会受到损害,尽管它可能会被遗漏.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
