我仍在使用mysql_
分机在一个古老的项目,所以mysql_real_escape_string()
足以防止SQL注入?或者我必须使用expressions
?
-3
A
回答
2
这取决于您想要参考的内容。如果值为int
或double
,则通常不会使用mysql_real_escape_string
。但是,如果它是一个字符串(并且在插入可能由您以外的人操纵的数据时请注意),您应该是安全的。
PDO不是最终所有的注入,但它确实使事情变得更简单。但是,mysql_*
已成功使用多年,并且不会使网站的安全性降低(仅取决于网站的撰写者)。
+0
所以'mysql_real_escape_string'适合字符串?我不必使用'表达式'? – Fady
+0
这是一种或多种事物。使用'mysql_ *'或者使用PDO和表达式。你不会有两者的混合。 –
相关问题
- 1. php sql注入
- 2. SQL注入MySql php
- 3. PHP和SQL注入
- 4. SQL注入的PHP
- 5. PHP SQL注入可能性
- 6. 防止SQL注入的PHP
- 7. PHP MySQLI阻止SQL注入
- 8. PHP SQL注入预防
- 9. PHP防止SQL注入/ XSS
- 10. PHP Adodb Active Record SQL注入
- 11. SQL注入,行情和PHP
- 12. Php sql注入保护
- 13. 防止SQL注入与PHP
- 14. PHP SQL注入防护
- 15. PHP SQL注入和保护?
- 16. SQL注入企图PHP 5.2.6
- 17. PHP Sql注入漏洞
- 18. PHP阻止SQL注入
- 19. SQL注入固定在PHP
- 20. PHP + SQL脚本 - 防止SQL注入
- 21. SQL注入插入
- 22. SQL注入
- 23. 盲SQL注入
- 24. SQL注入攻击
- 25. PHP的SQL注入逃生绳
- 26. PHP - 自动SQL注入保护?
- 27. 在PHP中避免SQL注入
- 28. 如何防止SQL注入,PHP
- 29. 基本的PHP SQL注入问题
- 30. 自动SQL注入预防PHP库
我说我还在使用'mysql_'分机! – Fady
已回答。搜索“是否足够mysql_real_escape_string”和类似。无需一遍又一遍地提出同样的问题。你也标记了你的问题PDO。 – hakre