sql >> Database teknologi >  >> RDS >> Mysql

Virker dette for at stoppe sql-injektioner

Det er noget effektivt, men det er suboptimalt -- ikke alle de data, du modtager i _GET og _POST, vil gå ind i databasen. Nogle gange vil du måske vise det på siden i stedet, i hvilket tilfælde mysql_real_escape_string kun kan skade (i stedet vil du have htmlentities).

Min tommelfingerregel er kun at undslippe noget umiddelbart før det sættes ind i den kontekst, hvor det skal undslippes.

I denne sammenhæng ville du være bedre af bare at bruge parametriserede forespørgsler – så sker escapening automatisk for dig.



  1. Kumulativ sum over et sæt rækker i mysql

  2. Eksport af din database til overførsel

  3. Indsætte flere rækker fra array gemt i en session i tabellen?

  4. sorter rollup'et i gruppe efter