小编典典

mysql_real_escape_string是否足以进行反SQL注入?

mysql

在PHP手册中,有一条注释:

注意:如果不使用此功能对数据进行转义,则该查询容易受到SQL注入攻击的攻击。

这足以进行反SQL注入吗?如果没有,您能举个例子和一个好的反SQL注入解决方案吗?


阅读 426

收藏
2020-05-17

共1个答案

小编典典

mysql_real_escape_string通常足以避免SQL注入。不过,这确实取决于它是否没有错误,即它 存在
脆弱性的可能性很小(但是这还没有在现实世界中体现出来)。准备好的语句是在概念上完全排除SQL注入的更好的替代方法。这两种方法完全取决于您正确应用它们。即,如果您只是将其弄乱,它们都不会保护您。

2020-05-17