代码之家 › 专栏 › 技术社区 › Jichao

mysql_real_escape_字符串是否足以反SQL注入?

sql-injection mysql php

Jichao · 技术社区 · 14 年前

在PHP手册中,有一个注释:

注意:如果此功能不用于转义数据,查询易受攻击到SQL注入攻击。

这足以反sql注入吗?如果不是,你能举个例子和一个很好的反sql注入的解决方案吗?

3 回复 | 直到 14 年前

deceze 12 年前

mysql_real_escape_string 通常足以避免SQL注入。这确实取决于它是否没有bug,也就是说,有一个小的未知机会是脆弱(但这还没有在现实世界中表现出来)。在概念级别上完全排除SQL注入的更好的替代方案是 prepared statements . 这两种方法完全取决于你是否正确地应用它们;也就是说,如果你只是把它搞砸了,它们都不会保护你。

mcbeav 14 年前

据我所知,这是避免SQL注入攻击的可靠方法。

Rotimi 7 年前

最好的解决办法是 PDO .

如果你用传统的 mysql_query 然后通过 mysql_real_escape_string() 够了。

推荐文章

Robo Robok · 为什么我无法使用Dom\HTMLDocument搜索标签?

5 月前

KevInSol · 在FreeBSD的配置阶段,从源代码构建PHP时找不到libjpeg

5 月前

Karlo · PHP Sqlite PDO最新版本

5 月前

biera · PHP:pntl_exec即使提供了有效的可执行路径也无法工作

5 月前

Malte · 检查远程服务器上是否存在文件(使用PHP)[关闭]

5 月前

Linesofcode · PhpStorm智能感知在方法链+多个类的情况下无法正常工作

5 月前

Artem · 如何使用php将zip存档中的每个文件压缩到未压缩的大小?[副本]

5 月前

Razvan Zamfir · 如何在Laravel 8应用程序中显示多选的选定选项?

5 月前

wqyutv · 当找不到文件时,任何破坏错误的东西都不会出现,我该怎么解决这个问题?

5 月前

Bard.Mus · 迁移后的数据库字符集环境

5 月前