Mysql
 sql >> база данни >  >> RDS >> Mysql

Работи ли това за спиране на sql инжекциите

Това е донякъде ефективно, но е неоптимално - не всички данни, които получавате в _GET и _POST, ще влязат в базата данни. Понякога може да искате да го покажете на страницата вместо това, в който случай mysql_real_escape_string може само да навреди (вместо това бихте искали htmlentities).

Моето практическо правило е да избягвам нещо само непосредствено, преди да го поставя в контекста, в който то трябва да бъде избягано.

В този контекст е по-добре просто да използвате параметризирани заявки – тогава екранирането се извършва автоматично за вас.



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. Анализатор на MySQL схема в Java?

  2. 12 Най-добри практики за сигурност на MySQL/MariaDB за Linux

  3. mybatis генератор Моделът на име на колона не може да бъде NULL или празен

  4. MySql - ПРИ ВМЕСВАНЕ НА ДУБЛИРАН КЛЮЧ

  5. QMYSQL драйверът не е зареден в Windows