أفضل طريقة للهروب من سلاسل إدراج SQL؟
-
08-07-2019 - |
سؤال
ما هي أفضل طريقة للهروب من سلاسل إدراجات SQL والتحديثات؟
أريد السماح بأحرف خاصة بما في ذلك "" و"".هل هي أفضل طريقة للبحث عن كل سلسلة واستبدالها قبل استخدامها في عبارة الإدراج؟
شكرًا
نسخة مكررة من: أفضل طريقة للدفاع ضد حقن MySQL والبرمجة النصية عبر المواقع
المحلول
ويجب أن تكون باستخدام استعلامات معلمات (حتى استطرادا، مكتبة واجهة DB التي تدعم استعلامات بمعلمات) بحيث حقن SQL لا يمكن أن يحدث.
نصائح أخرى
إذا كنت تتحدث عن قيم البيانات لحقولك، فإن أفضل طريقة هي استخدامها mysql_real_escape_string().(بعض الناس يحبون mysqli;لا أستطيع أن أقول إنني أفعل ذلك.) إذا كنت تتحدث عن السماح بالاستعلامات التي يرسلها المستخدم...حسنا، دعونا نأمل أنك لا تتحدث عن ذلك.
لا تنتمي إلى StackOverflow