只允许数字/字母/下划线/等于大于小于号/中划线/冒号,可以防注入吗?
现在在着手统一公司的后台,打算主站去各个子站取数据
每次有新需求,都发子站的代码太麻烦,(很多子站的运维权限不在我们手上)
目前打算这样。
子站备着一句
sprintf("select * from %s where %s %s '%s'", $table, $cond, $is, $value);
主站传的参数,先用正则过一遍,只允许数字/字母/下划线/等于大于小于号/中划线/冒号,
如果有其它符号(主要是防空格??)
就不执行。
这样安全吗?
主要目的是,保证安全的情况下,尽可能把工作量和回旋余地都集中到主站。
基本的api对称加密那些肯定是有。主要问题还是防注入这块,这样能防住吗?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(5)
不安全。
手拼 SQL 就不安全,记住这个就可以了。
有prepare不用,想着自己实现防注入?
PHP 用 PDO,一切交给PDO 就解决了
防注入, 使用prepare, 别的方式, 想都不要想.
PHP不是有PDO吗?为什么不用了?