Mysql
 sql >> Baza danych >  >> RDS >> Mysql

Czy dynamiczne zapytania mysql z kodem ucieczki sql są tak samo bezpieczne, jak przygotowane instrukcje?

Tak, ale kwalifikowane tak.

Musisz poprawnie uciec w 100% z danych wejściowych. I musisz odpowiednio ustawić zestawy znaków (jeśli używasz C API, musisz wywołać mysql_set_character_set() zamiast SET NAMES ). Jeśli przegapisz jedną drobną rzecz, jesteś bezbronny. Więc to jest tak, o ile robisz wszystko dobrze...

I dlatego wiele osób będzie polecać przygotowane zapytania. Nie dlatego, że są bezpieczniejsze. Ale ponieważ są bardziej wyrozumiali...



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. Wyszukiwanie pełnotekstowe z InnoDB

  2. Jak ograniczyć dostęp do portu MySQL

  3. 15 przydatnych wskazówek dotyczących dostrajania i optymalizacji wydajności MySQL/MariaDB

  4. Niedozwolona mieszanka zestawień (utf8_unicode_ci,IMPLICIT) i (utf8_general_ci,IMPLICIT) dla operacji '='

  5. Polecenie wstawiania MySQL a składnia zapytań T-SQL z przykładami