Является ли PHP Serialized Data Data Clean для инъекций Mysql?

Нужно ли мне избегать моих данных объекта, если я сериализую для инъекции mysql?Является ли PHP Serialized Data Data Clean для инъекций Mysql?

т.е.

class Object 
{ 
    public $description; 
} 

$obj = new Object(); 
$obj->description = mysql_real_escape_string("this is my crazy string with lot's of bad // characters"); 

$data = serialize($obj); // <-- $data will be stored in DB

или это будет хватай:

class Object 
{ 
    public $description; 
} 

$obj = new Object(); 
$obj->description = "this is my crazy string with lot's of bad // characters"; 

$data = serialize($obj);

источник

2010-06-30 Howard Zoopaloopa

FWIW, в «лоте» не должно быть апострофа, поэтому в любом случае это безопасно. (просто шутите!) –

@Bill lol. Это весело. Я не мог думать ни о чем писать. Итак, вы меня достали;) –

Run mysql_real_escape_string() после того как вы сериализованная. Это строка, которую вы собираетесь поместить в базу данных в конце концов.

источник

2010-06-30 23:21:50

имеет смысл –

Всегда запускайте mysql_real_escape_string на входе или, еще лучше, используйте подготовленные операторы. Чем больше привычки вы делаете, тем лучше. –

Да, вы должны избегать этого (или использовать подготовленные заявления).

<?php 
$obj = (object) array("--'--'" => "--'--"); 
var_dump(serialize($obj));

дает

 
string(44) "O:8:"stdClass":1:{s:6:"--'--'";s:5:"--'--";}"

Как вы можете видеть, нет никакой возможности избежать.

На боковой ноте вы должны использовать расширение mysqli для нового кода, а не расширение mysql.

источник

2010-06-30 23:36:35 Artefacto

Является ли PHP Serialized Data Data Clean для инъекций Mysql?

ответ

Смежные вопросы