php框架哪個(gè)好用，容易上手？先學(xué)ci提高技術(shù)，在用thinkphp用來(lái)找工作，然后用yii或者Lavarel走向更高的舞臺(tái)php如何防止sql注入攻擊？這個(gè)問(wèn)題感覺(jué)對(duì)一個(gè)二十年測(cè)試人員來(lái)說(shuō)應(yīng)該還是比

php框架哪個(gè)好用，容易上手？

先學(xué)ci提高技術(shù)，在用thinkphp用來(lái)找工作，然后用yii或者Lavarel走向更高的舞臺(tái)

php如何防止sql注入攻擊？

這個(gè)問(wèn)題感覺(jué)對(duì)一個(gè)二十年測(cè)試人員來(lái)說(shuō)應(yīng)該還是比較有資格回答的，畢竟錄制過(guò)sql注入以及防御的課程。

搞明白sql注入

注入攻擊漏洞例如c，OS以及LDAP注入。這些攻擊發(fā)生在當(dāng)不可信的數(shù)據(jù)作為命令或者查詢語(yǔ)句的一部分，被發(fā)送給解釋器的時(shí)候。攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋器，以執(zhí)行計(jì)劃外的命令或者在未被恰當(dāng)授權(quán)時(shí)訪問(wèn)數(shù)據(jù)。

然后給大家看看經(jīng)常會(huì)引起sql注入的sql語(yǔ)句

1or11#

2or11--（空格）

3unionallselect1,2,3#

4username‘UNION SELECT1,version(),3#（版本）

5username‘UNION SELECT1,user(),3#（用戶）

然后再給大家介紹一下sql注入的一個(gè)工具是sqlmap

最后給大家兩點(diǎn)建議

1使用預(yù)處理語(yǔ)句PDO

2對(duì)參數(shù)進(jìn)行轉(zhuǎn)義（addslashes/gd2_real_escape_string）

當(dāng)然了大家如果想具體學(xué)習(xí)css的攻擊原理以及，php的防御。和sqlmap的使用可以私聊我哦