Mysql
 sql >> Baza danych >  >> RDS >> Mysql

W jaki sposób sprintf() chroni przed wstrzyknięciem SQL?

sprintf cię nie ochroni! Zastępuje tylko %s

musisz mysql_real_escape_string więc:

$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = "%s" AND COL2 = "%s"',
mysql_real_escape_string($col1),
mysql_real_escape_string($col2));

jest bezpieczniejszy zastrzyk

uwaga:proponuję spojrzeć na PDO , to właśnie lubię używać do połączeń DB i zapytań



  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Usuwanie wszystkich wierszy starszych niż 5 dni

  2. Jak zaimportować plik CSV do tabeli MySQL

  3. Włącz obsługę silnika pamięci masowej MySQL InnoDB podczas instalacji XAMPP

  4. Jaka jest różnica między MySQL, MySQLi i PDO?

  5. Jak zainstalować phpMyAdmin na zarządzanych kontach hostingowych