Der beste Weg, Strings für SQL-Einsätze zu entkommen?
-
08-07-2019 - |
Frage
Was ist der beste Weg, Saiten für SQL-Einsätze zu entkommen, Updates?
I Sonderzeichen einschließlich "und“ zulassen möchten. Ist der beste Weg, jede Zeichenfolge zu suchen und zu ersetzen, bevor ich es in einem Insert-Anweisung verwenden?
Danke
Duplizieren von: bester Art und Weise zu verteidigen gegen mysql-Injection und Cross-Site-Scripting
Lösung
Sie sollten parametrisierte Abfragen werden (so durch die Erweiterung, eine DB-Schnittstelle Bibliothek, die parametrisierte Abfragen unterstützt), so dass SQL-Injection nicht passieren kann.
Andere Tipps
Wenn Sie sich über die Datenwerte für die Felder zu sprechen, dann ist der beste Weg, mysql_real_escape_string () verwenden . (Einige Leute mögen Mysqli , kann nicht sagen, ich tue.) Wenn Sie sprechen Benutzer erlaubt, -submitted Anfragen ... na ja, lassen Sie uns hoffen, dass Sie nicht darüber reden.