php框架哪個好用，容易上手？先學(xué)ci提高技術(shù)，在用thinkphp用來找工作，然后用yii或者Lavarel走向更高的舞臺php如何防止sql注入攻擊？這個問題感覺對一個二十年測試人員來說應(yīng)該還是比

php框架哪個好用，容易上手？

先學(xué)ci提高技術(shù)，在用thinkphp用來找工作，然后用yii或者Lavarel走向更高的舞臺

php如何防止sql注入攻擊？

這個問題感覺對一個二十年測試人員來說應(yīng)該還是比較有資格回答的，畢竟錄制過sql注入以及防御的課程。

搞明白sql注入

注入攻擊漏洞例如c，OS以及LDAP注入。這些攻擊發(fā)生在當(dāng)不可信的數(shù)據(jù)作為命令或者查詢語句的一部分，被發(fā)送給解釋器的時候。攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋器，以執(zhí)行計劃外的命令或者在未被恰當(dāng)授權(quán)時訪問數(shù)據(jù)。

然后給大家看看經(jīng)常會引起sql注入的sql語句

1or11#

2or11--（空格）

3unionallselect1,2,3#

4username‘UNION SELECT1,version(),3#（版本）

5username‘UNION SELECT1,user(),3#（用戶）

然后再給大家介紹一下sql注入的一個工具是sqlmap

最后給大家兩點建議

1使用預(yù)處理語句PDO

2對參數(shù)進行轉(zhuǎn)義（addslashes/gd2_real_escape_string）

當(dāng)然了大家如果想具體學(xué)習(xí)css的攻擊原理以及，php的防御。和sqlmap的使用可以私聊我哦