Mysql
 sql >> база данни >  >> RDS >> Mysql

Екраниране и вмъкване на сериализирани данни в MySQL

За избягване на параметри за влизане в SQL заявка не използвайте добавяне на наклонени черти, но mysql_real_escape_string .

Пример:

<?php
  $param = mysql_real_escape_string($_GET['param']);
  $query = "SELECT f1, f2 FROM atable WHERE f3 = '$param' ";
  // these single quotes here are essential !!   ^      ^ 
  // if you leave out the quotes you **will** suffer SQL-injection.

Това е правилният начин за избягване на SQL-параметри.
Или още по-добре използвайте PDO с подготвени оператори, тогава изобщо не е нужно да избягвате.



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. Mysql изберете Заявка с множество условия от една и съща колона

  2. Използва се COUNT в GROUP_CONCAT

  3. Как да актуализирам каскадата в MySQL?

  4. Избиране на редове от една таблица с помощта на стойности, получени от друга таблица MYSQL

  5. MySQL Получава време на вмъкване на стар запис?