Параметризация SQL против сбежания
https://stackoverflow.com/questions/4412523
-
08-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Если ваш язык / база данных выбора имеет встроенную функцию, чтобы избежать ввода пользователя, (например, mysql_real_escape_string) Каковы аргументы для параметризации SQL? Возможно ли, что MySQL_REAL_ESCAPE_STRING может, в какой-то момент, оставьте приложение уязвимым?
Я использую параметризацию, потому что мне сказали / прочитали, что лучше идти, но я не просто хочу следовать слепо. Любое понимание? Спасибо!
Решение
Аргументы для параметризации представление.
Если вы собираетесь выполнить следующее предложение несколько раз:
insert into table (col1, col2) values (?, ?);
Лучше использовать параметры, поскольку запрос будет оценен только (анализ, анализ плана и вычисления) один раз, и будет выполняться много раз.
Не связан с StackOverflow
