@rinaz22

Как защитится от sql инъекции?

Всем привет! Использую mysqli. Есть форма где пользователь вводит информацию. Как защититься, чтобы через эту форму не попала инъекция? Некоторые пишут экранировать запрос и потом добавить в БД. Поможет ли это?
  • Вопрос задан
  • 635 просмотров
Пригласить эксперта
Ответы на вопрос 2
@Energy2
Обязательно использовать PHP PDO (Материал 1, материал 2)
Ну и экранировать конечно же.
UPD:
Либо вообще избавляться от ненужных символов, в случаях когда они не нужны. (Например, когда в базу записывается только целое число, использовать intval());
Ответ написан
@Zubekas
Именно в mysql проще всего сделать инъекцию, не слушайте этих "умных", которые его предлагают. Mysqli как и PDO поддерживают prepare запросы, которые фильтруют входные параметры. Приведение к типу (intval) - хорошая практика, а так есть функция mysqli_escape_string которая экранирует запрос
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы
SaveTime Москва
от 140 000 до 200 000 руб.
Интерно Ростов-на-Дону
от 35 000 до 50 000 руб.
22 янв. 2019, в 00:48
60 руб./за 1000 зн.
22 янв. 2019, в 00:09
120000 руб./в месяц
21 янв. 2019, в 23:37
1000 руб./за проект