Question

Мне все еще нужно использовать mysql_escape_string, чтобы избежать атак SQL-инъекций, если я использую подготовленные операторы в MySQL 5.3?

Brad Christie · Answer 1 · 02 марта 2012

ЗОП должен позаботиться о побеге / дезинфекции для вас. Предполагая, что вы имеете в виду:

$db->prepare('SELECT * FROM table WHERE foo = ?');
$db->execute(Array("bar's baz"));

Your Common Sense · Answer 2 · 02 марта 2012

Несколько забавная вещь - вы не должны использовать mysql_escape_string, чтобы избежать атак SQL-инъекций, даже если вы не используете подготовленные операторы в MySQL 5.3. Обратите внимание, что это не функция «mysql_prevent_sql_injection ()», это escape-строка mysql one. Таким образом, он используется для экранирования строк. Вы должны избегать строк, несмотря на возможность инъекции. Тем не менее, это не поможет с любой частью запроса, кроме строки в кавычках.

MySQL подготовил заявления, мне все еще нужно использовать mysql_escape_string

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

MySQL подготовил заявления, мне все еще нужно использовать mysql_escape_string

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы