Подготовленные утверждения и SQL-инъекция

Я нахожусь в процессе создания системы ответов на ответ и наткнулся на это. Поскольку я использую mysqli_real_escape_string, он добавляет обратную косую черту в текст ответа. Поскольку я использую подготовленные операторы и bind_param, безопасно ли удалять строку escape mysqli? или это откроет его для SQL-инъекции? Благодаря!!Подготовленные утверждения и SQL-инъекция

источник

2016-09-23 Callahan

Извините, не знал, если это применимо, я посмотрю! Спасибо! – Callahan

Если вы (правильно) используете подготовленные инструкции, то вы НЕ убегаете. Это существенно удваивает данные. –

Я предполагаю, что мой следующий вопрос: как отобразить его на веб-странице без экранированных символов? – Callahan

Простой ответ, нет. SQL-инъекция включает в себя ввод строк, которые используются как часть самого элемента управления SQL, а не значения для части запроса. Путем параметризации запроса вы по существу оцепляете переменную, которая охватывает случаи, защищенные вызовами * _escape_string и более безопасными.

источник

2016-09-23 16:03:37 Steve

Подготовленные утверждения и SQL-инъекция

ответ

Смежные вопросы