Atitit 防注入 sql参数编码法
目录
1.2. 提升可读性pg_escape_literal — 转义文字以插入文本字段 1
1.3. 推荐pg_escape_string() 转义 text/char 数据类型的字符串 2
1.4. 2. mysql_real_escape_string() (推荐指数4) 2
预先处理法固然好,但是毕竟麻烦,调试不方便
-
-
-
- Escaping
-
-
通过使用mysqli 扩展,你可以利用 mysqli_real_escape_string() 函数来 escape包含在 SQL 查询中的所有数据。PostgresSQL 的 pgsql 扩展提供 pg_escape_bytea()、 pg_escape_identifier()、 pg_escape_literal() 和 pg_escape_string() 函数
基于以上原因,并不推荐使用 escaping。它可以用来救急,如果你用来抽象的数据库程序库不强制参数绑定就能进行 SQL 查询,可能就需要使用它。否则你应该避免使用 escape。它很混乱,容易出错,而且因数据库扩展不同而存在差异。