本文介绍了防止SQL注入的方法,重点讲解了PostgreSQL中的pg_escape_literal和pg_escape_string函数,强调了它们在提升可读性和转义字符串中的作用。同时提到了mysql_real_escape_string函数和魔术引用addslashes的使用场景及其潜在风险,建议在数据库操作中使用参数绑定以提高安全性。
Atitit 防注入 sql参数编码法
目录
1.2. 提升可读性pg_escape_literal — 转义文字以插入文本字段 1
1.3. 推荐pg_escape_string() 转义 text/char 数据类型的字符串 2
1.4. 2. mysql_real_escape_string() (推荐指数4) 2
预先处理法固然好,但是毕竟麻烦,调试不方便
-
-
-
- Escaping
-
-
通过使用mysqli 扩展,你可以利用 mysqli_real_escape_string() 函数来 escape包含在 SQL 查询中的所有数据。PostgresSQL 的 pgsql 扩展提供 pg_escape_bytea()、 pg_escape_identifier()、 pg_escape_literal() 和 pg_escape_string() 函数
基于以上原因,并不推荐使用 escaping。它可以用来救急,如果你用来抽象的数据库程序库不强制参数绑定就能进行 SQL 查询,可能就需要使用它。否则你应该避免使用 escape。它很混乱,容易出错,而且因数据库扩展不同而存在差异。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
