sql >> Database teknologi >  >> RDS >> Mysql

Undslippe og indsætte serialiserede data til MySQL

For at escape-parametre skal gå ind i en SQL-forespørgsel skal du ikke brug addslashes, men mysql_real_escape_string .

Eksempel:

<?php
  $param = mysql_real_escape_string($_GET['param']);
  $query = "SELECT f1, f2 FROM atable WHERE f3 = '$param' ";
  // these single quotes here are essential !!   ^      ^ 
  // if you leave out the quotes you **will** suffer SQL-injection.

Dette er den korrekte måde at undslippe SQL-parametre.
Eller endnu bedre brug PDO med forberedte sætninger, så behøver du slet ikke at undslippe.



  1. DBTIMEZONE-funktion i Oracle

  2. mysql kaster ukendt kolonne 'mac' i 'feltliste'

  3. Hvordan får man Unix-tidsstempel i MySQL fra UTC-tid?

  4. mysql vælg dynamiske rækkeværdier som kolonnenavne, en anden kolonne som værdi