我正在使用sqlsrv驱动程序的PHP MSSQL项目上。阻止SQL注入攻击的最佳方法是什么?我需要类似mysql_real_escape_string()的东西,但要使用sqlsrv驱动程序。
最好的方法是不要编写SQL,以便您需要使用的类似物mysql_real_escape_string(),可以通过使用占位符作为值,然后mysql_real_escape_string()在执行语句或打开时传递变量(否则将由来处理)来实现。光标或其他任何东西。
mysql_real_escape_string()
如果失败,请查看;的输出mysql_real_escape_string()。它可能也适用于MS SQL Server。这取决于转义的方式(以及转义的方式)。
