Symfony/Doctrine中的SQL注入
2024-07-29
61
使用参数,而不是直接在查询字符串将值做是为了防止SQL注入攻击,应始终做到:
?... WHERE p.name > :name ... ->setParameter( 'name' , 'edouardo' ) |
这是否意味着如果我们使用这样的参数,我们将始终受到SQL注入的保护?在使用表单(FOS的注册表单)时,我eduardo
改为使用标签将其保存到数据库中.我真的不明白为什么使用参数可以防止SQL注入......
为什么标签会像这样持久存储到数据库中?有没有办法通过使用Symfony的验证组件删除标签?
在Symfony中保存数据库之前,我们应该使用一般的提示或方法吗?
1> Jakub Zalas..:
首先阅读什么是SQL注入.
当SQL中的值改变查询时,会发生SQL注入攻击.结果,查询执行了它打算执行的其他操作.
示例将使用edouardo'OR'1'='1作为将导致以下结果的值:
?WHERE p.name > 'edouardo' OR '1' = '1' |
(所以情况总是如此).
" eduardo "是一个完全有效的值.在某些情况下,您需要将其另存为提交(例如内容管理系统).当然,当你从数据库中取出并直接输出时,它可能会破坏你的HTML.这应该通过你的模板引擎来解决(树枝会自动逃脱它).
如果在将表单从表单传递到实体之前需要流程数据,请使用数据转换器. 如果在创建请求时使用参数而不是连接,则程序可以分别告诉SQL关键字和值.因此,它可以安全地转义可能包含恶意SQL代码的值,以便此恶意程序不会被执行,而是存储在字段中,就像它应该的那样. HTML代码注入是另一个问题,与数据库无关.通过使用自动输出转义显示值时,此问题得以解决,而自动输出转义将显示
2> greg0ire..:eduardo
而不是eduardo.这样,任何恶意的js/html代码都不会被解释:它将被显示.
赞一波!
相关文章
- SQL Server EF使用Sequence全局自增ID
- SQL Server用UUID做主键性能问题和解决方案
- 针对 Go 语言开发的 SQL 驱动模拟库
- 数据库SQL Server2014和SQL Server2019的区别和如何选择?
- 现在开发使用Sql语句还是ORM更多?
- SQL生成框架Vanna.ai用法教程
- .NET自然语言转换为SQL的Nl2Sql项目
- 解决PHP开发中的SQL注入攻击问题
- SQL语句优化
- Sql Server清空表并重置主键序号
- sql创建并循环临时表
- Sql语句行转列
- 程序员Sql常见面试题和答案
- SQLServer 锁表查询命令
- SQLServer nolock查询防止锁表
- SqlServer分页查询示例
- SQL DATEDIFF用法和性能
- 提高SQL性能的最佳实践
- SQL inner join、left join和right join的区别
- SQLServer分页查询语句
文章评论
评论问答