ถามเรื่อง SQL Injection หน่อยครับ +1

[arafarn12]

จากลองอ่านหลายๆบทความ สรุปได้ว่า
ตรวจสอบค่าที่รับมาก่อน ถ้ามีสัญลักษณ์พิเศษ พวก ' " / \ , ( ) อะไรพวกนี้ ไม่ต้องทำอะไร
ถ้าไม่มีสัญลักษณ์พิเศษ ให้ query ได้เลย

เข้าใจถูกใหมครับ  +1 ทุกท่าน

นอกจากนี้ยังมีวิธีป้องกัน Injection แบบใหนบ้างครับ

[max30012540]

mysql_real_escape_string()
คำสั่งเดียว เอาอยู่ครับ

[ossytong]

Why mysql_real_escape_string() isn't enough to stop SQL injection attacks!

http://johnroach.info/2011/02/17/why-mysql_real_escape_string-isnt-enough-to-stop-sql-injection-attacks/

[ICheer_No0M]

สำหรับผม

mysql_real_escape_string สำหรับกัน bypass login
intval สำหรับกันตรง query

[icez]

ใช้ prepare statement คู่กับ mysqli ครับ ป้องกันได้ชัวร์ 100%


http://th1.php.net/mysqli
http://th1.php.net/manual/en/mysqli.prepare.php

[rukyee]

หรือไม่ก้อเขียน Select, Insert, Update, Delete เป็น stored procedure ไว้ที่ฝั่ง database
แล้วให้เรียกใช้งานผ่าน stored procedure แทนครับ

: )

[MapTwoZa]

ใช้ prepare statement คู่กับ mysqli ครับ ป้องกันได้ชัวร์ 100%


http://th1.php.net/mysqli
http://th1.php.net/manual/en/mysqli.prepare.php

ตามนี้เลยครับ

เลิกใช้ได้แล้ว mysql
ใช้ mysqli กับ mysql pdo แทน
ไม่โดน injection แน่นอน

มันกันซะจนบางทีจะเก็บ ข้อมูลบางอย่าง หรือไม่ก็พวก binary data ไม่ได้
ต้อง encode ก่อน แล้วค่อยเก็บ 55+

[gp72343]

ใช้ prepare statement คู่กับ mysqli ครับ ป้องกันได้ชัวร์ 100%


http://th1.php.net/mysqli
http://th1.php.net/manual/en/mysqli.prepare.php

ตามนี้เลยครับ

เลิกใช้ได้แล้ว mysql
ใช้ mysqli กับ mysql pdo แทน
ไม่โดน injection แน่นอน

มันกันซะจนบางทีจะเก็บ ข้อมูลบางอย่าง หรือไม่ก็พวก binary data ไม่ได้
ต้อง encode ก่อน แล้วค่อยเก็บ 55+

มาช่วย +1 ด้วยคนครับ MySQLi กับ PDO ดีกว่ามากๆเลยครับ
ทำ Multiple Query ก็ได้ด้วย