sql >> Databáze >  >> RDS >> Mysql

Funguje to pro zastavení injekcí SQL

To je poněkud efektivní, ale není to optimální – ne všechna data, která obdržíte v _GET a _POST, půjdou do databáze. Někdy jej možná budete chtít zobrazit na stránce, v takovém případě může mysql_real_escape_string jen ublížit (místo toho byste chtěli htmlentity).

Mým pravidlem je uniknout něčemu pouze bezprostředně před tím, než to vložím do kontextu, ve kterém je potřeba uniknout.

V tomto kontextu by bylo lepší použít pouze parametrizované dotazy – pak se escapování provede automaticky za vás.



  1. Upravený dotaz pomocí ManyToMany

  2. Použití sloupce Alias ​​v klauzuli where v ms-sql 2000

  3. Vynulujte počítadlo automatického přírůstku v postgresu

  4. Upozornění:#1265 Data zkrácena pro sloupec 'pdd' na řádku 1