我有一个应用程序,通过将动态 mysql 查询与 mysql (mysqli) 真实转义字符串结合使用,它将大大受益。如果我通过 mysql real escape 运行从用户收到的所有数据,它会和使用 mysql 准备好的语句一样安全吗?
是的,但有资格。
您需要正确转义 100% 的输入。并且您需要正确设置字符集(如果您使用的是C API,则需要调用mysql_set_character_set()
代替SET NAMES
)。如果你错过了一件小事,你就会很脆弱。所以是的,只要你做对了一切......
这就是很多人推荐准备好的查询的原因。并不是因为它们更安全。但因为他们更加宽容......
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)