Mysql
 sql >> база данни >  >> RDS >> Mysql

Кога НЕ трябва да използвам mysql_real_escape_string

Това е лоша идея поради няколко причини:

  • Първо, предполага се, че вашите входове винаги ще влизат само в базата данни и в базата данни. Ами ако нещо ще се използва в HTML изхода? Или в имейл? Или записано във файл? Или много други неща... вашето филтриране трябва винаги да е контекстно-чувствително.
  • По-важното е, че насърчава небрежното използване на GET, POST и т.н., защото няма индикация, че са били филтрирани. Ако някой ви види да използвате

    echo $_POST['име'];

    на страница, как биха разбрали, че е филтрирана? Или още по-лошо... сигурен ли си, че е било? Какво ще кажете за това друго приложение? Знаеш ли, този, който току-що ти беше връчен? Какво биха направили новите разработчици? Дали изобщо ще знаят, че филтрирането е важно?



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. mysql ляво външно присъединяване

  2. Грешка в MySQL:списъкът SELECT не е в клаузата GROUP BY

  3. MySQL:Неправилен ключов файл за таблица '/tmp/#sql_185e_0.MYI', опитайте се да го поправите

  4. Как да създадете обобщена таблица в MySQL

  5. MySQL GROUP от Regex?