sql >> Databasteknik >  >> RDS >> Mysql

Erlang Mysql:Hur man förhindrar SQL-injektioner

Detta svar beror på vilken drivrutin du använder.

Erlang ODBC har en funktion param_query som binder en uppsättning parametrar till frågan och den kan också undvika alla SQL-specialtecken.

erlang-mysql-driver har utarbetat uttalanden:

%% Register a prepared statement
mysql:prepare(update_developer_country,
              <<"UPDATE developer SET country=? where name like ?">>),

%% Execute the prepared statement
mysql:execute(p1, update_developer_country, [<<"Sweden">>,<<"%Wiger">>]),

(kod från Yarivs blogg )

Som en sista utväg kan du alltid escape tecknen 

 NUL (0x00) --> \0 
 BS  (0x08) --> \b
 TAB (0x09) --> \t
 LF  (0x0a) --> \n
 CR  (0x0d) --> \r
 SUB (0x1a) --> \z
 "   (0x22) --> \"
 %   (0x25) --> \%
 '   (0x27) --> \'
 \   (0x5c) --> \\
 _   (0x5f) --> \_



  1. välj kategorier med föräldranamn från en tabell

  2. Hur gör jag en annan MySQL-kolumn för automatisk ökning?

  3. Överträdelse av integritetsbegränsning:1048 Kolumnen "taggable_id" kan inte vara null

  4. Hur fungerar MIN() och MAX() på CHAR/VARCHAR-strängar i MySQL?