Beste Weg, um escape-Zeichenketten für sql INSERT?
Was ist der beste Weg, um escape-Zeichenketten für sql-inserts, updates?
Ich möchte, dass Besondere Zeichen, einschließlich '"und". Ist der beste Weg, um suchen und ersetzen jede saite, bevor ich es verwenden in einer insert-Anweisung?
Dank
Duplizieren von: Beste Weg, um zu verteidigen gegen mysql-injection und cross-site-scripting
- Warum brauchen Sie dazu eine Analyse? Nicht mysql erlauben parametrisierte Abfragen?
- Durch "analysieren", meinst du zu sagen, 'escape', das heißt, neutralisieren von Metazeichen, so dass die Daten sicher sein kann, eingebettet in eine Abfrage?
- Es tut mir Leid, ja, zu entkommen.
- Okay. Die Bearbeitung der Frage nach.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Sollten Sie mit Hilfe von parametrisierten Abfragen (also durch Erweiterung, ein DB-interface-library unterstützt parametrisierte Abfragen), so dass SQL-injection kann nicht passieren.
Wenn du redest Daten Werte für Ihre Felder, dann der beste Weg ist die Verwendung mysql_real_escape_string(). (Einige Leute wie mysqli; kann ich nicht sagen, ich auch nicht.) Wenn du redest, so dass Benutzer eingereichte Abfragen... naja, hoffen wir, Sie reden nicht darüber.