Mysql
 sql >> Baza danych >  >> RDS >> Mysql

Odkażanie parametrów użytkownika MySQL

mysql_real_escape_string() z dokumentacji mysql.com:

mysql_real_escape_string() jest świadomy zestawu znaków, więc replikowanie wszystkich jego umiejętności (zwłaszcza w przypadku problemów z atakami wielobajtowymi) nie jest małą ilością pracy.

Od http://cognifty.com/blog.entry/id=6/ addslashes_dont_call_it_a_comeback.html :

AS = addslashes()  
MRES = mysql_real_escape_string()
ACS = addcslashes() //called with "\\\000\n\r'\"\032%_"

Feature                                         AS     MRES    ACS
escapes quote, double quote, and backslash      yes    yes     yes
escapes LIKE modifiers: underscore, percent     no     no      yes
escapes with single quotes instead of backslash no     yes*1   no
character-set aware                             no     yes*2   no
prevents multi-byte attacks                     no     yes*3   no


  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Projekt DB:tabela członków oddzielna lub wszystkie w jednej tabeli?

  2. Korzystać z klasy bazy danych PDO bez tworzenia nowego połączenia za każdym razem?

  3. Błąd MySQL 1264:wartość poza zakresem dla kolumny

  4. Jak zgrupować wiersze mysql o tej samej wartości kolumny w jeden wiersz?

  5. MySQL:Porównaj różnice między dwiema tabelami