Каков наилучший способ избежать строк для вставок sql, обновлений?Лучший способ избежать строк для вставок sql?
Я хочу, чтобы специальные символы, включая "и» Это лучший способ поиска и заменить каждую строку, прежде чем я использовать его в операторе вставки
Благодаря
Дубликат:.? Best way to defend against mysql injection and cross site scripting
Вы должны использовать параметризованные запросы (поэтому по расширению - библиотека интерфейса DB, которая поддерживает параметризованные запросы), поэтому SQL-инъекция не может произойти.
Если вы говорите о значениях данных для своих полей, то лучший способ - использовать mysql_real_escape_string(). (Некоторые люди, например, mysqli, не могу сказать, что я это делаю.) Если вы говорите о разрешении запросов пользователей ... хорошо, будем надеяться, что вы об этом не говорите.
Зачем вам нужен синтаксический анализ? Разве mysql не разрешает параметризованные запросы? –
Под «parse» вы хотите сказать «побег», то есть нейтрализовать метасимволы, чтобы данные можно было безопасно встроить в запрос? – chaos
Прошу прощения, да побег. – pixeldev