防止没有MySQLi或PDO的SQL注入
我知道我可以使用准备语句来防止SQL注入。 我可以使用MySQLi或PDO来完成。 但是我开发了一个使用PHP / MySQL(mysql_query)的大型CRM。 如果我必须将每个查询都更改为PDO或MySQLi,则至少需要一个月。 该脚本获得了更多的500个MySQL查询语句。
在这件事上我真的需要帮助。 任何人都可以告诉我如何防止SQL注入不使用MySQLi或PDO?
任何人都可以告诉我,如何防止SQL注入不使用MySQLi或PDO [在现有的应用程序中有超过500条原始MySQL语句]?
简答
没有。
在架构上,您的应用程序需要从头到尾重写(关于其数据库访问结构)才能在Web上变得安全。 与简单地实施可靠的SQL抽象层一起作为修订策略的一部分,使用数据清理器和声明启发式技术将会更加危险和耗时。
我的建议是你至少实施了教义 。 理论数据库抽象层(DBAL)可能是一个好的开始,特别是对于像您所描述的那样的遗留数据库策略的端口而言; 或者使用Doctrine对象关系映射器(ORM)进行升级。 更好的是,使用已经包含这些数据库库的框架(如Symfony 2或Silex)来构建未来的应用程序(或重新构建应用程序)。
链接地址: http://www.djcxy.com/p/93767.html