Параметризация SQL против сбежания
-
08-10-2019 - |
Вопрос
Если ваш язык / база данных выбора имеет встроенную функцию, чтобы избежать ввода пользователя, (например, mysql_real_escape_string) Каковы аргументы для параметризации SQL? Возможно ли, что MySQL_REAL_ESCAPE_STRING может, в какой-то момент, оставьте приложение уязвимым?
Я использую параметризацию, потому что мне сказали / прочитали, что лучше идти, но я не просто хочу следовать слепо. Любое понимание? Спасибо!
Решение
Аргументы для параметризации представление.
Если вы собираетесь выполнить следующее предложение несколько раз:
insert into table (col1, col2) values (?, ?);
Лучше использовать параметры, поскольку запрос будет оценен только (анализ, анализ плана и вычисления) один раз, и будет выполняться много раз.
Не связан с StackOverflow