Mysql
 sql >> Baza danych >  >> RDS >> Mysql

Czy powinienem uciec od oczekiwanej wartości całkowitej za pomocą mysql_real_escape_string, czy po prostu użyć (int)$expectedinteger

mysql_real_scape_string jest dla STRINGS . nie sprawi, że liczba całkowita będzie „bezpieczna” do użytku. np.

$safe = mysql_real_escape_string($_GET['page']);

nie zrobi NIC, gdzie

$_GET['page'] = "0 = 0";

ponieważ nie ma tam metaznaków SQL. Twoje zapytanie zakończyłoby się mniej więcej w stylu

SELECT ... WHERE somefield = 0 = 0

Jednak wykonanie intval() spowoduje przekonwertowanie tego 0=0 do zwykłego 0 .



  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Czy połączenia SQL otwierane za pomocą PDO w PHP muszą być zamknięte?

  2. PHP/MYSQLI:mysqli_query nie działa w PHP

  3. Usuń powtarzające się wyniki z zapytania MySQL

  4. Pole aktualizacji MySQL na podstawie minimalnej wartości innego pola, gdy jest pogrupowane według trzeciego

  5. Konwertuj wynik sql na listę python