[英]Is mysql_real_escape_string enough to Anti SQL Injection?
在PHP手冊中,有一個注釋:
注意:如果此函數不用於轉義數據,則查詢容易受到SQL注入攻擊。
這足以反sql注入嗎? 如果沒有,你能舉一個例子和一個很好的解決方案來反sql注入嗎?
mysql_real_escape_string
通常足以避免SQL注入。 這確實取決於它是無bug的,即它有一些很小的未知機會它是脆弱的(但這還沒有在現實世界中表現出來)。 在概念級別上完全排除SQL注入的更好的替代方法是准備語句 。 這兩種方法完全取決於你正確應用它們; 也就是說,無論如何你都不會保護你。
據我所知,這是避免SQL注入攻擊的可靠方法。
最好的解決方案是PDO 。
如果您正在使用傳統的mysql_query
那么通過mysql_real_escape_string()
運行所有數據就足夠了。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.