Mysql
 sql >> Baza danych >  >> RDS >> Mysql

Filtrowanie danych wejściowych użytkownika

Użyj mysql_real_escape_string() podczas wstawiania ciągów do zapytań SQL, bez względu na to, skąd pochodzą dane wejściowe.

Użyj htmlspecialchars() lub htmlentities() podczas wstawiania ciągów znaków do kodu HTML, bez względu na to, skąd pochodzą dane wejściowe.

Użyj urlencode() podczas wstawiania wartości do ciągu zapytania adresu URL, bez względu na to, skąd pochodzą wartości.

Jeśli te dane pochodzą od użytkownika, zdecydowanie powinieneś zrobić te rzeczy, ponieważ istnieje szansa, że ​​użytkownik próbuje robić złe rzeczy. Ale pomijając bezpieczeństwo — co zrobić, jeśli chcesz wstawić prawidłowy ciąg do zapytania SQL, a ciąg zawiera akurat pojedynczy znak cudzysłowu? Nadal musisz przed tym uciec.



  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Jak używać przygotowanych instrukcji w zapytaniach z klauzulą ​​IN w PHP

  2. Dynamiczne menu php bootstrap mysql

  3. Jak uzyskać poprawny zrzut za pomocą mysqldump i pojedynczej transakcji, gdy jednocześnie używany jest DDL?

  4. Pytanie ostrzegawcze MySQL?

  5. Baza danych mySQL:Zresetuj pola autoinkrementacji