サイトログインはSQLインジェクションからサイトを保護しますか？

Question

誰もがサイトに入り、フォームデータを送信する前に、私はログインして安全なサイトを持っています。これはSQLインジェクションから十分安全ですか？

Answer 1

NO

SQLインジェクションは、認証とは何の関係もありません。ユーザーの入力を消毒する方法と関係しています。言い換えれば、完全に良好な資格を持つユーザーは悪意を持っている可能性があり、フォームのフィールドの一部に悪質なテキストを入力してデータベースを削除しようとしていると判断します。

PHPの場合、mysql_real_escape_string()を使用すると、入力をサニタイズし、文字列連結を使用してprepared statements（パラメータ化されたクエリとも呼ばれます）を実装できれば、クエリプランを再利用してパフォーマンスを得ることができますブーストも同様に。

Answer 2

ユーザーがログオンフォームでSQLインジェクションを使用していない場合。ログオンフォームの仕組みselectを使用してチェックすると、不良SQLなどを除去する必要があります。

Answer 3

NO！

これは脆弱になります（適切に行われていないと、ログイン後のすべてのものと同様に脆弱です）。

ハッカーはこのフォームを使用してSQLを注入できます。

ログイン！= slq注入保護。

ユーザー入力を消化するのは、です。

例えば用途：

mysql_real_escape_string() 

mysqli_real_escape_string() 

pdo's prepared statements 

Answer 4

もしあなたのログインがSQLインジェクションに対する保護を提供しているとしたら、ログインページのユーザはログインしていないと言えます。認証/認証とSQLインジェクションはどちらも関係のないものです。 NO。