أفضل طريقة للهروب من سلاسل إدراج SQL؟
https://stackoverflow.com/questions/633109
-
08-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
ما هي أفضل طريقة للهروب من سلاسل إدراجات SQL والتحديثات؟
أريد السماح بأحرف خاصة بما في ذلك "" و"".هل هي أفضل طريقة للبحث عن كل سلسلة واستبدالها قبل استخدامها في عبارة الإدراج؟
شكرًا
نسخة مكررة من: أفضل طريقة للدفاع ضد حقن MySQL والبرمجة النصية عبر المواقع
المحلول
ويجب أن تكون باستخدام استعلامات معلمات (حتى استطرادا، مكتبة واجهة DB التي تدعم استعلامات بمعلمات) بحيث حقن SQL لا يمكن أن يحدث.
نصائح أخرى
إذا كنت تتحدث عن قيم البيانات لحقولك، فإن أفضل طريقة هي استخدامها mysql_real_escape_string().(بعض الناس يحبون mysqli;لا أستطيع أن أقول إنني أفعل ذلك.) إذا كنت تتحدث عن السماح بالاستعلامات التي يرسلها المستخدم...حسنا، دعونا نأمل أنك لا تتحدث عن ذلك.
لا تنتمي إلى StackOverflow
