sql >> Database teknologi >  >> RDS >> Mysql

Er dynamiske mysql-forespørgsler med sql-escape lige så sikre som forberedte udsagn?

Ja, men et kvalificeret ja.

Du skal undslippe 100 % af inputtet korrekt. Og du skal indstille tegnsæt korrekt (hvis du bruger C API, skal du kalde mysql_set_character_set() i stedet for SET NAMES ). Hvis du går glip af en lille ting, er du sårbar. Så det er ja, så længe du gør alt rigtigt...

Og det er grunden til, at mange mennesker vil anbefale forberedte forespørgsler. Ikke fordi de er mere sikre. Men fordi de er mere tilgivende...



  1. Venter på localhost, for evigt!

  2. En guide til MariaDB Columnstore for MySQL-administratorer

  3. Hvordan forhindrer jeg en databasetrigger i at gentage sig?

  4. Hvordan kan jeg manipulere MySQL fuldtekst søgerelevans for at gøre et felt mere 'værdifuldt' end et andet?