Я нахожусь в процессе создания системы ответов на ответ и наткнулся на это. Поскольку я использую mysqli_real_escape_string
, он добавляет обратную косую черту в текст ответа. Поскольку я использую подготовленные операторы и bind_param
, безопасно ли удалять строку escape mysqli? или это откроет его для SQL-инъекции? Благодаря!!Подготовленные утверждения и SQL-инъекция
1
A
ответ
0
Простой ответ, нет. SQL-инъекция включает в себя ввод строк, которые используются как часть самого элемента управления SQL, а не значения для части запроса. Путем параметризации запроса вы по существу оцепляете переменную, которая охватывает случаи, защищенные вызовами * _escape_string и более безопасными.
Смежные вопросы
- 1. Подготовленные утверждения - несколько запросов
- 2. Подготовленные утверждения - количество строк
- 3. Подготовленные утверждения в libdbi
- 4. Подготовленные утверждения SQL
- 5. Подготовленные утверждения в java
- 6. PDO Подготовленные утверждения - NULL
- 7. PHP Подготовленные утверждения функции
- 8. Подготовленные утверждения Mysql
- 9. Подготовленные утверждения и наследование классов в PHP
- 10. Подготовленные утверждения и выбор, 0 строк найдено
- 11. PHP 2 Подготовленные утверждения Ошибка
- 12. SQLite Подготовленные утверждения не вставляются
- 13. Подготовленные утверждения в Entity Framework
- 14. PHP - PDO SQLite3 Подготовленные утверждения
- 15. PHP Подготовленные утверждения: Эхо результат
- 16. Подготовленные утверждения с динамическим предложением WHERE
- 17. PDO Подготовленные утверждения: Замена значения столбца
- 18. Когда я должен использовать подготовленные утверждения точно?
- 19. PHP Подготовленные утверждения без mysqli или PDO
- 20. PHP - Подготовленные утверждения ошибки, что не так?
- 21. Ошибка синтаксиса с PDO Подготовленные утверждения
- 22. PDO Подготовленные утверждения - Просмотр результатов запроса
- 23. Подготовленные утверждения: ошибка около '? WHERE `quantity` =? '
- 24. Подготовленные утверждения, строка, застрявшая в котировках
- 25. Подготовленные утверждения IN clause Java Microsoft JDBC
- 26. Подготовленные утверждения в Oracle для пакета SSIS
- 27. Подготовленные утверждения (MySQLi), получение ошибок анализа
- 28. Подготовленные утверждения с MySQL в .Net @ VS.?
- 29. PHP Подготовленные утверждения с циклом while
- 30. MySQL/C++ и подготовленные утверждения: setInt always 0
Извините, не знал, если это применимо, я посмотрю! Спасибо! – Callahan
Если вы (правильно) используете подготовленные инструкции, то вы НЕ убегаете. Это существенно удваивает данные. –
Я предполагаю, что мой следующий вопрос: как отобразить его на веб-странице без экранированных символов? – Callahan