Il modo migliore per sfuggire alle stringhe per inserti sql?
https://stackoverflow.com/questions/633109
-
08-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Qual è il modo migliore per sfuggire alle stringhe per inserti sql, aggiornamenti?
Voglio consentire caratteri speciali tra cui 'e " ;. È il modo migliore per cercare e sostituire ogni stringa prima di usarla in un'istruzione insert?
Grazie
Duplicato di: Il modo migliore per difendere contro mysql injection e cross site scripting
Soluzione
Dovresti usare query con parametri (quindi, per estensione, una libreria di interfacce DB che supporti query con parametri) in modo che l'iniezione SQL non possa avvenire.
Altri suggerimenti
Se stai parlando di valori di dati per i tuoi campi, il modo migliore è utilizzare mysql_real_escape_string () . (Ad alcune persone piace mysqli ; non posso dire di sì.) Se stai parlando di consentire all'utente -inviate domande ... beh, speriamo che non ne parli.
