mysqli_real_escape_string使用哪種引號?
[英]What kinds of quotes to use with mysqli_real_escape_string?
問題描述
我在程序化mysqli中創建了以下腳本,因為我只是從舊版mysql開始。 我不確定查詢周圍引號的種類以防止注入。 有些用戶將示例與'其他人與" ,所以現在我很困惑。我可以被以下代碼注入或攻擊嗎?正確的引號是什么?
$username = mysqli_real_escape_string($database,$_POST['form_user']);
$password = mysqli_real_escape_string($database,$_POST['form_password']);
$members = "SELECT * FROM `accounts` WHERE `member` = '$username'";
$result = mysqli_query($database,$members);
我只是一個初學者,因此現在面向對象或PDO或准備好的語句對我來說很困難,因此我只需要改進此腳本並使其更安全,但是圍繞查詢var的示例和符號如此之多,我對當前和現在感到困惑不安全。
1 個解決方案
解決方案1
1 已采納 2015-04-16 07:55:25
mysqli_real_escape_string底層C mysql庫的mysql_real_escape_string函數 (或等效函數 ),該函數對字符進行編碼:
\\,',",NUL(ASCII 0),\\n,\\r和Control + Z
因此, '和"都被轉義了。這意味着您可以在查詢中使用它來分隔字符串,MySQL 允許同等地使用雙引號和單引號的字符串 。
我知道您知道這一點,但您確實應該立即着手准備聲明,而不是逃脫。
MySQL使用mysqli_real_escape_string轉義單引號
[英]MySQL Escaping Single Quotes With mysqli_real_escape_string
對於PHP函數mysqli_real_escape_string(),$ link的用途是什么?
[英]For PHP function mysqli_real_escape_string(), what is the purpose of $link?
將foreach和mysqli_real_escape_string用於許多帖子值
[英]Use foreach and mysqli_real_escape_string for many post value
如何在查詢中正確使用mysqli_real_escape_string()函數
[英]how to correctly use mysqli_real_escape_string() Function in a query
PHP和MySQL-使用mysqli_real_escape_string的正確方法
[英]PHP and MySQL - correct way to use mysqli_real_escape_string
如何在$ _GET ['page']中使用mysqli_real_escape_string
[英]how to use mysqli_real_escape_string for $_GET['page']
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何使用mysqli_real_escape_string()?
mysqli_real_escape_string 和雙引號問題
MySQL使用mysqli_real_escape_string轉義單引號
mysqli_real_escape_string mysqli鏈接?
mySQLI-mysqli_real_escape_string問題
對於PHP函數mysqli_real_escape_string(),$ link的用途是什么?
將foreach和mysqli_real_escape_string用於許多帖子值
如何在查詢中正確使用mysqli_real_escape_string()函數
PHP和MySQL-使用mysqli_real_escape_string的正確方法
如何在$ _GET ['page']中使用mysqli_real_escape_string
相關標簽