首先,我得到人们想要使用存储过程,以便他们重用查询并逃避处理。不过,我读过很多开发者说,mysqli_real_escape_string
不能100%防止SQL注入。有人可以提供一个这样的例子吗?mysqli_real_escape_string如何防止SQL注入失败?
从我关于这个问题的知识有限,我要说的是,mysqli_real_escape_string
将总是罚款字符串但你可能会被抓出来,除非你核对一下电话号码数值是一个整数,浮点,双等
编辑:我忘了添加一些关键的东西:假设字符集是UTF8并且mysqli_set_charset已被相应调用。我见过的唯一注入依赖少数的字符集(没有一个是UTF8)。
[SQL注入是得到周围mysql_real_escape_string()( http://stackoverflow.com/questions/5741187/sql-injection-that-gets-around-mysql-real-escape-string) – 2013-05-01 09:00:32
+1,JW为链接。 – 2013-05-01 09:05:09
链接的答案太华丽了,我的口味。 – 2013-05-01 09:16:02