sql >> Databasteknik >  >> RDS >> Mysql

Escape och infoga serialiserade data till MySQL

För att escape-parametrar ska gå in i en SQL-fråga gör du inte använd addslashes, men mysql_real_escape_string .

Exempel:

<?php
  $param = mysql_real_escape_string($_GET['param']);
  $query = "SELECT f1, f2 FROM atable WHERE f3 = '$param' ";
  // these single quotes here are essential !!   ^      ^ 
  // if you leave out the quotes you **will** suffer SQL-injection.

Detta är det korrekta sättet att undkomma SQL-parametrar.
Eller ännu hellre använd PDO med förberedda satser, då behöver du inte fly alls.



  1. Använda Oracle JDeveloper Snippets med MySQL

  2. Närmaste match, del 3

  3. Laravel 4:anpassad inloggning och kontrollera lösenord

  4. Varför avbryter Hibernate/JDBC/MySQL anslutningar efter någon dag?