将序列化的数组插入数据库是否完全安全serialize(),或者我应该这样做addslashes(serialize($array))?或者可以有一些mysql特定的字符?我可以使用插入删除数据或其他内容吗?
问问题
2083 次
2 回答
4
不,这根本不安全。
你不应该使用addslashes,而是mysql_real_escape_string。或者更好的是,使用带有准备好的语句而不是转义的 PDO。
于 2012-05-08T10:34:50.517 回答
4
在没有特定于数据库的处理的情况下将序列化数据插入数据库是完全***不安全的*。
您应该使用推荐的任何机制来防止您选择的数据库访问层的 SQL 注入;使查询安全免受注入还包括正确转义数据,因此您将用一块石头击中两只鸟。
请参阅如何防止 PHP 中的 SQL 注入?具体例子。
于 2012-05-08T10:35:17.053 回答