sql 注入将会是一个笑话
2 / 6 / 创建于 6年前
lyxxxh 的个人博客
sql注入一直是开发人员头疼的问题 危害性。。 你们懂的
即使再菜的菜鸟写程序 都会用框架的
框架sql都是预处理
如使用php7 php7禁止用mysql函数 只能用mysqli或者pdo 可能是mysql函数不支持预处理
手工防护的就算了 不知道多少人的手工防注入都是有漏洞
几乎都是找其他漏洞 例如:
xxs的 xxs手工防止和php函数都是不行的 你永远不知道别人掌握什么样的骚操作
文件上传漏洞 限制图片? 改下包就好了 限制后缀? 改成1.php.qwe就行了
各种sql注入 (联合 盲注等等) 一个预处理的事情
我认为sql注入将是个笑话了
因为预处理的普及 几乎可以不用找漏洞了---------------------除非你找的是老网站
本作品采用《CC 协议》,转载必须注明作者和本文链接
关于 LearnKu
粤公网安备 44030502004330号
说明你对 SQL 注入的原理理解不够深刻,Laravel 的 SQL 都是做了预处理的,但是仍然有人可以写出有 SQL 注入漏洞的代码。
說明你對 PHP PDO 中的預處理瞭解得不夠深刻,PHP 的 prepare statement 是模擬出來的,而不是真正的 parepared statement
啊不過以目前而言,就算是模擬出來的也是沒有漏洞啦,這個倒是不必擔心(暫時)
比如
User::whereRaw('id='.$req->get('id'))->get()