sql >> Databasteknik >  >> RDS >> Mysql

Är det säkert att låta användaren ange mysql-fältet för att söka?

Du bör kontrollera att fälten de tillhandahåller finns i en lista/uppsättning av fält som du tillåter sökning inom. Lägg till backticks runt fältnamnen i frågan bara för att vara extra säker också. Om du gör båda dessa saker förhindrar du varje injektion genom dessa variabler.



  1. Infoga i SQLite Database android

  2. Indexerar mysql 5.0 nollvärden?

  3. MySQL-import - Hur ignorerar jag Drop-tabellen om det finns en rad?

  4. ORA-65139:Missmatch mellan XML-metadatafil och datafil