Mysql
 sql >> база данни >  >> RDS >> Mysql

Дали динамичните mysql заявки с избягване на sql са също толкова сигурни, колкото подготвените оператори?

Да, но квалифициран да.

Трябва правилно да избягате от 100% от входа. И трябва да зададете правилно набори от знаци (Ако използвате C API, трябва да извикате mysql_set_character_set() вместо SET NAMES ). Ако пропуснете едно малко нещо, вие сте уязвими. Така че е да, стига да правите всичко както трябва...

И това е причината много хора да препоръчват подготвени запитвания. Не защото са по-безопасни. Но понеже са по-прощаващи...



  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Как мога да преглеждам MySQL резултатен набор повече от веднъж, използвайки функциите mysql_*?

  2. MySQL - UPDATE заявка въз основа на SELECT заявка

  3. Как да върнете списък с наличните набори от символи в MySQL

  4. Как да зададете набора от символи и съпоставяне на база данни в MySQL

  5. Как да INSERT Ако ред не съществува (UPSERT) в MySQL