من یک روش تو سایت های خارجی دیدم که با MySql باگ sqlinjection رو صفر می کردند به طوری که نحوه query فرق میکرد و نوشته که سرعت ، امنیت و بازدهی سایت هم بیشتر میشود .
لطفا نحوه کار این کارو شرح دهید .
صفر کردن Sql Injection با MySql
من یک روش تو سایت های خارجی دیدم که با MySql باگ sqlinjection رو صفر می کردند به طوری که نحوه query فرق میکرد و نوشته که سرعت ، امنیت و بازدهی سایت هم بیشتر میشود .
لطفا نحوه کار این کارو شرح دهید .
درود و ...
خوب مگه تو سایت های خارجی روشش رو ندیدی پس چیو شرح بدند ؟ oO
نوشتن کوئری های چند بخشی ( من بهش میگم ) به این صورته که شما همه اطلاعاتو سلکت نمیکنی ...
کوئری معمولی :
SELECT * FROM `name` WHERE 1 , ...
کوئری چند بخشی :
SELECT `test`, `test1` FROM `name` WHERE 1 , ...
که البته این شرط امنیت نیست پس اشبتاه متوجه نشید .... خوب باز هم اشتباه متوجه شدید چون 90% متوجه نشدند که اشتباه اول غلط بود
بگذریم ...
کوئری کمک چندانی به امنیت sql نمیکنه پس باید از نسخه های آپدیت شده استفاده کنید که از Injection Type ها جلوگیری میکنه در ضمن سبک کد نویسی هم مهمه چون شما اصلا نباید مستقیم ورودی رو وارد کوئری کنید در مورد سرعت هم نظر من اینه :
برای اینکه سرعت افزایش پیدا کنه به جای اینکه string بدید به کوئری از integer استفاده کنید البته سرعت select در رکورد های بالای 100000 رکود رو متونید به ثانیه مقایسه کنید
موفق باشید
این کاری که من میگم با mysql انجام میشد و امنیت کامل داشت .نوشته شده توسط sh.n.n786
درود و ...
خوب مگه تو سایت های خارجی روشش رو ندیدی پس چیو شرح بدند ؟ oO
نوشتن کوئری های چند بخشی ( من بهش میگم ) به این صورته که شما همه اطلاعاتو سلکت نمیکنی ...
کوئری معمولی :
SELECT * FROM `name` WHERE 1 , ...
کوئری چند بخشی :
SELECT `test`, `test1` FROM `name` WHERE 1 , ...
که البته این شرط امنیت نیست پس اشبتاه متوجه نشید .... خوب باز هم اشتباه متوجه شدید چون 90% متوجه نشدند که اشتباه اول غلط بود
بگذریم ...
کوئری کمک چندانی به امنیت sql نمیکنه پس باید از نسخه های آپدیت شده استفاده کنید که از Injection Type ها جلوگیری میکنه در ضمن سبک کد نویسی هم مهمه چون شما اصلا نباید مستقیم ورودی رو وارد کوئری کنید در مورد سرعت هم نظر من اینه :
برای اینکه سرعت افزایش پیدا کنه به جای اینکه string بدید به کوئری از integer استفاده کنید البته سرعت select در رکورد های بالای 100000 رکود رو متونید به ثانیه مقایسه کنید
موفق باشید
برای sql injection بهترین راه استفاده از Parametrized Query ها و Stored Procedure ها هستش. من بعید میدونم خود MySQL بتونه مانع بشه ! با pdo و mysqli خیای راحت میتونید Parametrized Query بنویسید.
احتملاً به جای mysql از mysqli استفاده شده همانطور که دوست قبلی اشاره کردن از pdo استفاده شده.
خودم میدونم mysqli و pdo چیه نمیخواد به من بگی !
میگم با mysql انجام داده !
با stored procedure
مخففش SP میشه ؟
میشه بیشتر توشح بدین ؟
قوانین ایجاد تاپیک در تالار
پاسخ با نقل قول
