Sql injection trong php

php

(Duy Hoàng) #1

hiện em qli 1 web do em code, lúc viết code em không sử dụng prepare statement nên code em bị lỗi sqli.

giờ mà chuyển hết sang prepare sttm thì rất là lâu lên em định sử dụng mysqli_real_escape_string vs hàm addslashes liệu đã đủ để chống chưa ạ. hix ai cho em lời khuyên với ạ !!! em đang bị ai đó lấy dữ liệu trong db :(((


(Vô Thin) #2

Chuyển code bạn từ mysql cũ sang mysqli hết và dùng mysqli_real_escape_string như giải pháp tạm thời khi chưa kịp viết code thành PDO với các Prepared Statement. Cách này sẽ hạn chế được khá nhiều còn hơn là không làm gì cả. Sau đó có thể bỏ thời gian viết công cụ convert code thay vì code thủ công :smiley:


(HKT) #3

Khuyên ACE dùng framework như CakePHP, Laravel, ZendFramework để không phải lo lắng về sql Injection


83% thành viên diễn đàn không hỏi bài tập, còn bạn thì sao?