Question

у меня есть этот код, и по какой-то причине он вставляет точное значение (включая mysql_real ...)

mysql_query("INSERT INTO members (username) VALUES ('mysql_real_escape_string($uname)')");

как мне переписать это, чтобы у меня не было этой проблемы?

Philipp Reichart · Answer 1 · 01 апреля 2012

Вы также можете использовать подготовленный оператор , где PDO заботится о экранировании для любой базы данных, с которой работает (не только для MySQL):

$stmt = $dbh->prepare("INSERT INTO members (username) VALUES (:username)");

// either:
$stmt->bindParam(':username', $uname);
$stmt->execute();

// or as Corbin pointed out in the comments:
$stmt->execute(array('username' => $uname))

David · Answer 2 · 01 апреля 2012

mysql_real_escape_string - это функция PHP, а не функция MySQL.

$value = mysql_real_escape_string($uname);

mysql_query("INSERT INTO members (username) VALUES ('$value')");

ОБНОВЛЕНИЕ: встроенная mysql_real_escape_string

mysql_query("INSERT INTO members (username) VALUES ('".mysql_real_escape_string($uname)."')");

php sql инъекционная строка

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

php sql инъекционная строка

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы