如果我正在使用MySQL 5.3中的预准备语句,是否还需要使用mysql_escape_string来避免SQL注入攻击?MySQL准备好的语句是否仍然需要使用mysql_escape_string
2
A
回答
3
PDO应该照顾你的逃生/消毒。假设你的意思是:
$db->prepare('SELECT * FROM table WHERE foo = ?');
$db->execute(Array("bar's baz"));
+0
感谢队友最欣赏;-) – Rob 2012-03-02 02:42:50
0
一个有些有趣的事情 - 你不应该使用函数mysql_escape_string避免SQL注入攻击,即使你没有在MySQL 5.3使用准备好的语句。 请注意,它不是“mysql_prevent_sql_injection()”函数,它是mysql转义字符串之一。所以,它被用来转义字符串。尽管注射可能性,你必须逃避弦。然而,除了带引号的字符串外,它不会对任何查询部分有所帮助。
相关问题
- 1. Python mysql是否准备好语句或者我需要escape_string()?
- 2. MySQL准备好的语句
- 3. 准备好的语句需要在mysql中重新编写
- 4. PHP:准备好的语句,IF语句需要帮助
- 5. PHP准备好的语句 - MySQL检查用户是否存在
- 6. FindBugs说我需要“使用准备好的语句”?怎么样?
- 7. MySQL准备好的语句语法
- 8. mysqli准备好的语句是否完全免受mysql注入?
- 9. 准备好语句,同时提取准备好的语句
- 10. 获取从MySQL准备好的语句
- 11. 运行准备好的语句(MySQL/PHP)
- 12. PHP和MySQL准备好的语句
- 13. PHP/mySQL准备好的语句
- 14. 不使用准备好的语句截断表是否安全?
- 15. ,Cookie是否仍然需要?
- 16. neo4j-jdbc是否真的需要准备语句?
- 17. 如何使用准备好的语句
- 18. 使用LIKE与准备好的语句
- 19. 准备好了mysql语句和数组
- 20. 准备好的MySQLi语句
- 21. org.hibernate.session准备好的语句
- 22. MySQLi准备好的语句?
- 23. 需要将值的范围传递给准备好的语句
- 24. bind_param/bind_value是否使准备好的语句确实安全?
- 25. mysqli准备好的语句是什么?
- 26. PHP&mySQLi:使用准备语句时是否还需要检查用户输入?
- 27. PHP MySQL准备好的语句中的语句
- 28. MySQL准备好的语句 - 控制执行的条件语句
- 29. 如何写“创建用户?”使用MySQL准备好的语句
- 30. PHP在准备好的语句中准备了语句
不,也是这个问题是无数人的重复 – Phil 2012-03-02 01:20:21
可能的重复[停止SQL注入PHP的最佳方法](http://stackoverflow.com/questions/60174/best-way-to-stop-sql -injection-in-php) – Phil 2012-03-02 01:21:55
[PHP MySQLi准备的查询绑定参数是否安全?](http://stackoverflow.com/questions/1561586/are-php-mysqli-prepared-queries-with-bound-参数 - 安全) – outis 2012-03-26 02:06:28