我有一个托管在共享主机上的网站.他们安装了PHP 5.2.13. 我知道SQL注入的漏洞,我想阻止它. 所以我想使用PDO或mysqli来防止它. 但是当我使用phpinfo()时的问题;查看托管环境php设置信息,我发现PDO没有mysql驱动程序,并且没有支持mysqli. 所以我想知道使用旧的mysql_ *函数是否安全(以及函数如mysql_real_escape_string). 我在SO上看了这个,但对我来说没什么用.Prepared statements possible when mysqli and PDO are not available?...
放弃 请原谅我的无知,我已经写了超过12年的C#,我对.NET框架和OO编程感到很满意,而且我在企业应用程序方面有很好的背景,但这是我的第一次回合PHP. 题 好吧,所以我试图弄清楚如何使用mysql_query函数发出一个准备,我不能把两个和两个放在一起.现在我这样连接:mysql_connect('xxx.x.x.x:xxxx', 'x', 'x'); mysql_select_db('x');这是成功的. 现在,我想插入一些数据,所以我正在查看mysql_query函数,只是无法弄清楚如何发送参数化查询以...
我一直在互联网上搜索一种在JavaScript中定义查询的方法,将该查询传递给PHP.让PHP建立一个MySQL连接,执行查询并返回json编码的结果. 但是我担心这种方法的安全性,因为用户可能会篡改查询并执行您不希望他们执行的操作或请求您不希望他们看到的数据. 题 在像这样的应用程序/插件中,您建议使用哪种安全措施来阻止用户请求我不希望他们使用的信息? 编辑 我的插件的最终结果将是这样的var data = Querier({table: "mytable",columns: ...
昨天我正在研究一个shell脚本,以便对MySQL数据库执行一些中等复杂的表插入.当然,我保持一个mysql客户端shell窗口打开,以运行describe命令,示例查询,并在测试周期之间删除我的测试行. 是的,这是在一个实时的生产数据库中. 在我完成编码的时候,我要求一位同事在运行脚本来处理批处理条目之前查看我的工作.我们讨论了所有事情,他同意他看起来是正确的,我解雇了剧本.没问题. 然后我回到我的实时shell,从历史中拉出一行,更改了where子句...
到目前为止,我一直在使用PHP来创建加密安全随机值,使用openssl_random_pseudo_bytes.我想在存储函数中生成加密安全令牌,RAND()是我正在寻找的,还是它不是加密安全的?解决方法:http://dev.mysql.com/doc/refman/5.7/en/mathematical-functions.htmlRAND() is not meant to be a perfect random generator. It is a fast wayto generate random numbers on demand that is portable betweenplatforms for the same MySQL version.如...
我喜欢InnoDB的安全性,一致性和自我检查. 但我需要MyISAM的速度和重量轻. 如何使MyISAM不易因崩溃,数据不良等而导致损坏?通过检查需要永远(CHECK TABLE或myisamchk). 我不是要求交易安全性 – 这就是InnoDB的用途.但我确实想要一个数据库,我可以快速重启,而不是几小时(或几天!). 更新:我不是问如何更快地将数据加载到表中.我已经打败了我的头,并确定使用MyISAM表来获取我的LOAD DATA要快得多.我现在所追求的是减轻使用MyISAM表的...
通过PHP脚本连接时,最安全的地方放置MySQL数据库连接的详细信息?$connection = mysql_connect($hostname, $username, $password); if (!$connection) {die('Could not connect: ' . mysql_error());} mysql_select_db($database, $connection);我知道将它们直接放在查询数据库的脚本中并不是一个好主意.但是,有人说您应该将连接详细信息放在单独的PHP脚本中并包含要连接的脚本. 是否有更安全的地方放置连接细节?解决方法:通常的做...
Mysql数据库的默认端口号为3306,在服务器安装好Mysql数据库后,如果使用的服务器是阿里云或者腾讯云服务器,如果在后台启用了安全组功能,则需要在安全组中对3306端口的入站规则进行放行,只有在安全组中开放了3306端口,外部才可访问到对应MySql数据库。如果是Windows服务器,启用了Windows防火墙功能的话,还需要在防火墙中开放3306端口。 阿里云服务器安全组设置可参考本站文章:浅谈云服务器安全组功能以及使用。 腾讯云服务器...
这些天MySQL的触发器有多常见 – 绝大多数主机是否安装了足够的MySQL服务器?解决方法:除非你要求专门的托管或类似的VPS托管,否则我不会尝试在桌子之外使用太多其他东西. 大多数共享/经销商配置都会遇到有关VIEW,TRIGGERS和STORED PROCEDURES的权限问题. 如果您不介意需要专门托管您的应用程序,那么我认为您可以安全地使用这些.
我正在开发一个项目,允许公众(所以每个人)通过TinyMCE为他们自己的项目页面插入HTML.由于每个人都被允许使用此功能,我需要一种100%安全的方式将TinyMCE输出插入我的数据库,并将其显示在另一个页面上,就像用户插入一样. XSS,SQL注入和所有其他废话不是我想要的新网站!我可以做htmlentities – > htmlspecialchars以及稍后使用htmlentities_decode,但这是100%安全,这是最好的方法吗?解决方法:在大多数情况下,使用预准备语句可以...
参见英文答案 > SQL injection that gets around mysql_real_escape_string() 4个好吧,在我开始在学校项目中编写MySQL之前,我有一个问题. mysql_real_escape_string是否真的可以安全使用?我听说它仍然不是很安全使用..那么有什么调整可以使SQL查询安全吗?我以前曾多次使用过mysql_real_escape_string,但不是我正在为我的学校建一个网站,所以我首先要检查的是安全性.解决方法:如果使用得当,my...
我们被要求研究申请的可行性,以收集银行帐号和分类代码,并通过无纸化直接借记系统临时存储以进行离线处理. 数据将通过256位SSL连接从网站访问者收集并存储在mySQL数据库中,供我们的客户稍后收集.这些数据将暂时保留,直到下载,此时它将从数据库中删除. 细节:我们在这个特定的服务器上托管了一些其他网站没有人对服务器进行shell访问或FTP访问服务器符合PCI标准Mod_security和其他在机器上运行的软件 我知道这与Best practices for ...
简单的问题: 我使用Sequel Pro连接到云中的数据库.如果我使用“标准”连接方法(通过端口3306),这是安全的,还是数据包嗅探器能够输出我的密码?我应该只使用“ssh”连接吗? 谢谢!解决方法:它不是默认值,但mysql确实支持ssl. http://dev.mysql.com/doc/refman/5.1/en/secure-connections.html 很可能,是的,您的凭据以纯文本形式传播,并且很容易被嗅探器捕获. 如果你无法让你的提供者配置mysql ssl,也许你可以先vpn到mysql服务器所...
试图弄清楚如何在Ruby On Rails中处理并发性. 如何获取一段代码来锁定数据库中的行并在需要时强制回滚? 更具体地说,有没有办法强制某段代码完全完成,如果没有回滚?我希望将历史记录添加到项目中的事务中,并且我不希望事务在没有保存历史记录的情况下提交,因此如果服务器介于两个操作之间(保存事务并保存历史记录),则数据库可能会进入非法国家.解决方法:你想看看ActiveRecord Transactions和Pessimistic Locking.Account.transact...
嗨我有一个脚本来分区一些mysql数据库.我们正在从5.5升级到5.6.在测试脚本时,我注意到使用新的5.6版本mysql返回警告:在命令行界面上使用密码可能是不安全的.解决这个问题的最佳方法是什么?我读了一个解决方法是2> / dev / null但是如果它们发生的话,我将无法获得退出代码或任何错误.有没有其他方法可以做到这一点.这是有问题的代码行:MYSQL_RESULT=`echo "SET sql_log_bin=0;SET @pdb='$DB',@ptable='$table';CALL maintenance(...