[英]Is it necessary to use mysql_real_escape_string() for image into mysql?
例如:
$data = file_get_contents($_FILES['image']['tmp_name']);
$data = mysql_real_escape_string($data);
mysql_query("INSERT INTO table set image='$data'....
这是坚持的正确方法吗?
您可以执行base64_encode
来保持数据的完整性,并确保任何类型的字符都不会出现问题,实际上,这是保存和传输数据的非常常用的方法。 并使用base64_decode
找回它。
我建议保留它,除非有理由将其删除,因为它是防止sql注入的好方法。 参见此处: http : //php.net/manual/en/function.mysql-real-escape-string.php 。
可能可以通过用户可以上传或客户端可能意外使用的图像进行sql注入。
不使用它的原因可能是性能。 我倾向于推荐安全性而不是性能。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.