如何知道MySQL何时需要转义
[英]How to know when escape is necessary for MySQL
问题描述
我正在使用CodeIgniter构建一个站点。 这是我自己构建的第一个与数据库交互的站点。 我在这个项目中使用MySQL。 如何在将数据保存到数据库之前判断数据是否需要转义?
8 个解决方案
解决方案1
8 2010-04-12 00:48:00
我建议你习惯使用准备好的陈述。 特别是因为您不熟悉数据库。 越早开始使用这些,就越容易成为第二天性。
例如,当我开始使用数据库时,我不知道准备好的语句。 当我与他们联系时,我经历了自己的僵局。 因为我已经习惯了另一种做事方式。 现在,这可能不是你自己的角色交易,但无论如何都要尽快开始。
准备好的语句允许您在查询中使用占位符。 然后,可以通过将这些占位符绑定到占位符来将这些占位符替换为实际值。 这个绑定过程会自动转义值。
这是一个(简单的) PDO示例:
$db = new PDO( /* some database parameters */ );
$statement = $db->prepare( 'INSERT INTO table VALUES( :username, :password )' );
$statement->bindValue( ':username', $dirtyUsername );
$statement->bindValue( ':password', $dirtyPassword );
$result = $statement->execute();
// result checking ommited for brevity
PDO和准备好的陈述有很多可能性。 例如,您可以轻松地在循环中重用预准备语句,如下所示:
$statement = $db->prepare( 'INSERT INTO table VALUES( :username, :password )' );
foreach( $users as $dirtyUser )
{
$statement->bindValue( ':username', $dirtyUser->username );
$statement->bindValue( ':password', $dirtyUser->password );
$result = $statement->execute();
// result checking ommited for brevity
}
或者将占位符绑定传递给execute方法,如下所示:
$statement = $db->prepare( 'INSERT INTO table VALUES( :username, :password )' );
$result = $statement->execute( array(
':username' => $dirtyUsername,
':password' => $dirtyPassword
) );
// result checking ommited for brevity
......等等
解决方案2
4 2010-04-12 00:38:36
不要担心逃避自己(你会搞砸它)。 使用首先准备语句的数据库层,然后向其中添加数据。
在PHP中,您应该使用PDO 。 你写
SELECT * FROM table WHERE key = :key AND value = :value
然后通过调用函数添加数据。
解决方案3
3 已采纳 2010-04-12 00:43:01
解决方案4
2 2010-04-12 00:38:53
如果数据是字符串,则必须始终对其进行转义。
但是,最好使用参数。
解决方案5
1 2010-04-12 00:34:17
如果有疑问,请逃避一切。
不能太安全。
好吧好吧。 我知道了
总是逃避
解决方案6
1 2010-04-12 02:36:51
如果您自己生成SQL而不是使用像PDO这样的东西,那么您必须始终转义字符串。
转义字符串是SQL语言的基本要求。 它允许你在字符串中使用像撇号或反斜杠这样的字符而不会出现任何问题。 根本不存在不需要转义字符串的情况。
甚至非字符串也必须进行过滤,以确保它们确实是非字符串。
如果你正在学习,请认真考虑像其他许多人所说的那样学习像PDO这样的东西,而不是逃避你自己的字符串。
解决方案7
-1 2010-04-12 00:43:25
当任何字符串由用户输入组成时,您可以转义MySQL查询字符串,例如:
在PHP中:$ username =; //来自USER INPUT的值
那么你的查询字符串是:“INSERT INTO table ('username')VALUES(”。$ username。“)”
您必须转义此mySQL查询,因为$ username变量可能会将客户端插入的恶意代码注入您的数据库。
解决方案8
-2 2010-04-12 00:38:36
什么时候逃跑? 一旦您的网站上市。
使用准备好的语句时是否需要 mysql_real_escape_string()?
[英]Is mysql_real_escape_string() necessary when using prepared statements?
为什么在存储到MySQL数据库时需要将转义序列添加到二进制字符串中?
[英]Why is it necessary to add escape sequences to a binary string when storing to a MySQL Database?
是否有必要使用mysql_real_escape_string()将图像导入mysql?
[英]Is it necessary to use mysql_real_escape_string() for image into mysql?
如果没有用户输入,是否需要mysql_real_escape_string?
[英]Is mysql_real_escape_string necessary if there are no user inputs?
mysql_real_escape_string()对于$ _SESSION变量是否必要?
[英]mysql_real_escape_string() for $_SESSION variables necessary?
mysql_real_escape_string何时知道当前由哪个数据库服务器负责?
[英]When does mysql_real_escape_string know which db server is in charge at the moment?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
mysql在使用alter table时是否需要真正转义?
使用准备好的语句时是否需要 mysql_real_escape_string()?
为什么在存储到MySQL数据库时需要将转义序列添加到二进制字符串中?
是否有必要使用mysql_real_escape_string()将图像导入mysql?
如果没有用户输入,是否需要mysql_real_escape_string?
mysql_real_escape_string()对于$ _SESSION变量是否必要?
mysql_real_escape_string何时知道当前由哪个数据库服务器负责?
如何在MySQL查询中转义\\
如何在mySQL中转义字符串
转义 pdo 查询,有必要吗?
相关标签