Mysql
 sql >> база данни >  >> RDS >> Mysql

Филтриране на въведеното от потребителя

Използвайте mysql_real_escape_string() когато вмъквате низове в SQL заявки, без значение откъде идва входът.

Използвайте htmlspecialchars() или htmlentities() когато вмъквате низове в HTML код, без значение откъде идва входът.

Използвайте urlencode() когато вмъквате стойности в низа на заявката на URL, без значение откъде идват стойностите.

Ако тези данни идват от потребителя, тогава определено трябва да направите тези неща, защото има вероятност потребителят да се опитва да направи лоши неща. Но настрана сигурността - какво ще стане, ако искате да вмъкнете легитимен низ в SQL заявка и низът просто има единичен знак в кавички? Все пак трябва да го избягаш.



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. Има ли MySQL.. INSERT ... ON DUPLICATE KEY SELECT?

  2. Проблем при вмъкване от скрипт на python в база данни на mysql с innondb двигател

  3. Експортиране на база данни чрез моя java код

  4. Как мога да реша несъвместимо с sql_mode=only_full_group_by в laravel eloquent?

  5. Покажете „Няма намерени съвпадения“ или скрийте DIV резултати (AJAX и MySQL)