sql >> Databáze >  >> RDS >> Mysql

Použití mysql_real_escape_string s PDO (žádné připojení k serveru localhost)

Míchání dvou databázových knihoven takto je špatný nápad a potenciálně nebezpečné.

mysql_real_escape_string() potřebuje existující klasický mysql_connect() připojení k databázi (ze které může získat informace o znakové sadě), aby bylo zcela bezpečné. Připojení PDO bude samostatné, možná s odlišným nastavením znakové sady, což nakonec povede k méně zabezpečení :

Používejte PDO celou cestu, neexistuje žádná alternativa.

Pokud nechcete používat připravené výpisy, PDO::quote by měla být správná funkce:

Všimněte si však, že i manuálová stránka pro tuto funkci doporučuje používat připravené příkazy.



  1. Jak najdu znaky Unicode/non-ASCII v poli NTEXT v tabulce SQL Server 2005?

  2. Dělá index na Varcharu rozdíl ve výkonu?

  3. Používáte odpočítávací časovač jquery s mysql datetime?

  4. Jak najít ASCII kód ​​pro daný znak v MySQL