sql >> Databáze >  >> RDS >> Mysql

Escapování a vkládání serializovaných dat do MySQL

U escapování parametrů, které se mají dostat do dotazu SQL, nemusíte použijte lomítka, ale mysql_real_escape_string .

Příklad:

<?php
  $param = mysql_real_escape_string($_GET['param']);
  $query = "SELECT f1, f2 FROM atable WHERE f3 = '$param' ";
  // these single quotes here are essential !!   ^      ^ 
  // if you leave out the quotes you **will** suffer SQL-injection.

Toto je správný způsob, jak uniknout parametrům SQL.
Nebo ještě lépe použijte PDO s připravenými příkazy, pak nemusíte unikat vůbec.



  1. „0000-00-00 00:00:00“ nelze reprezentovat jako java.sql. Chyba časového razítka

  2. Problém s Mysql při vytváření nového uživatele

  3. Implementace přírůstkového zatížení pomocí Change Data Capture v SQL Server

  4. Jak mysql provádí zpětné rozlišení IP adres?