我一直在寻找最有效的清理用户输入的方法。我的应用程序是一个简单的发布请求,用于验证用户。在网上寻找,我可以找到更多的十几种不同的“最好”的做法。很多这些方法使用不推荐使用的php函数或者看起来过于复杂。为了连接到我的sql数据库,我使用了PDO类。PHP PDO清洁用户输入
在寻找我自己的功能,我迷迷糊糊翻过这一点:
与绑定参数预处理语句不仅更加轻便,更加方便,不受SQL注入,但往往要快得多比插值查询执行,因为服务器和客户端都可以缓存查询的编译形式。
我已经使用的准备方法创建我的发言。这是否意味着我可以安全地防范SQL注入攻击?还有什么我应该担心的?
谢谢xception。目前我正在使用不均匀的盐渍散列。在计算散列之后,我将盐添加到它并将其存储在数据库中。当用户进行身份验证时,我从数据库中获取salt并将其与提供的密码结合使用,以计算身份验证哈希。为了防止暴力攻击,我也放慢了哈希函数。 –
您可以在一段时间内限制失败的身份验证尝试,而半小时内失败的身份验证尝试有10次对任何人都是足够的,并且会严重阻碍任何暴力破解尝试。 Spor la treaba :) – xception