Mysql
 sql >> Baza danych >  >> RDS >> Mysql

Czy to działa, aby zatrzymać wstrzykiwanie sql?

To trochę skuteczne, ale nie jest optymalne — nie wszystkie dane, które otrzymasz w _GET i _POST, trafią do bazy danych. Czasami zamiast tego możesz chcieć wyświetlić go na stronie, w którym to przypadku mysql_real_escape_string może tylko zaszkodzić (zamiast tego potrzebujesz htmlentities).

Moją praktyczną zasadą jest ucieczka przed czymś bezpośrednio przed umieszczeniem tego w kontekście, w którym należy uciec.

W tym kontekście lepiej byłoby używać po prostu sparametryzowanych zapytań — wtedy wyskok jest wykonywany automatycznie.



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. Czy można pominąć przygotowanie PDO, jeśli w zapytaniu nie ma danych zastępczych/dynamicznych?

  2. Java - jak wsadowo wstawiać i aktualizować bazy danych

  3. Grupuj zapytania według pary wyników kolumny

  4. Kolejność MySQL według dwóch kolumn

  5. Najlepszy sposób przechowywania ustawień użytkownika w MySQL?