sql >> Databasteknik >  >> RDS >> Mysql

Base64-kodad sträng för enkel sql-injektion

På grund av karaktären av base64_encode()-funktionen (låt binär data överleva transport genom transportlager som inte är 8-bitars rena) behöver du inte undkomma någonting!

Tecken som returneras är [0-9a-zA-Z/]

Men jag rekommenderar starkt att du använder förberedda uttalanden (med mysqli eller PDO). Är lite långsammare men du kommer inte att ändra saneringslogiken varje gång du hanterar en tabellstruktur.

Och även, inte mindre viktigt, kanske du i framtiden behöver indexera data i din tabell (Kanske för att söka med GILLA eller FULLSÖKNING).

Ditt andra exempel är korrekt (Bind ALLA dina parametrar)



  1. Datum från excel ändras när det laddas upp till mysql

  2. Gruppera data med OVER- och PARTITION BY-funktionerna

  3. MySQL LOAD_FILE() laddar nullvärden

  4. mySQL blob-bilder utskrift?