运行我的字符串以确保不可能进行 MySQL 注入的最佳功能是什么?
另外,它是否需要在输出时通过另一个函数运行它才能正确显示?
也可以看看
参数真的足以防止 Sql 注入吗?带有子句
的 C# 参数化查询 MySQLin
我可以通过转义单引号和用单引号包围用户输入来防止 SQL 注入吗?
johnnietheblack
问问题
1855 次
5 回答
15
于 2009-04-03T16:33:33.650 回答
1
一个参数函数。
撇开幽默不谈,我的意思是如果可以避免的话,不要将用户输入的内容作为 SQL 动态执行。将所有内容作为参数传递,并从您的查询中引用它们。请参阅Chad Birch 的答案以获得解释此问题的良好链接。
于 2009-04-03T16:33:35.273 回答
0
正如 Chad 所说,始终使用参数化查询来避免 SQL 注入。
要回答您问题的后半部分,如果您的输出是网页,则始终转义任何特殊的 HTML 字符(&, <, >)以防止脚本注入。
于 2009-04-03T16:37:56.823 回答
0
向参数化查询添加应用程序中输入验证的使用。永远不要相信输入是干净的。核实。例如,如果它应该是一个整数,请检查以确保它可以毫无问题地转换为数值。
于 2009-04-03T18:41:37.960 回答
-1
在 PHP 中,最好的方法是对字符串使用 HTML 转义。
它将特殊字符转换为 HTML 兼容字符。
示例:“”(空格)转换为“%20”。
于 2013-01-30T13:53:23.570 回答