sql >> Databasteknik >  >> RDS >> Mysql

Kan SQL-injektion förhindras med bara addslashes(sträng)?

Nej, det är inte säkert. Använd mysql_real_escape_string() istället. Det bör inte lägga till något utöver vad som krävs för att undkomma strängen.

http://php.net/mysql-real-escape-string

Detta gäller även andra databaser:använd den tilläggsspecifika escape-funktionen.



  1. Dela upp IPv4-adressen i 4 nummer i Oracle sql

  2. fe_sendauth:inget lösenord tillhandahålls

  3. MySQL WHERE NOT IN extremt långsam

  4. Gruppera efter LIKE av ett kolumnvärde