Mysql
 sql >> Cơ Sở Dữ Liệu >  >> RDS >> Mysql

Lọc đầu vào của người dùng

Sử dụng mysql_real_escape_string() khi chèn chuỗi vào truy vấn SQL, bất kể đầu vào đến từ đâu.

Sử dụng htmlspecialchars() hoặc htmlentities() khi chèn các chuỗi vào mã HTML, bất kể đầu vào đến từ đâu.

Sử dụng urlencode() khi chèn giá trị vào chuỗi truy vấn của URL, bất kể giá trị đến từ đâu.

Nếu dữ liệu này đến từ người dùng, thì bạn chắc chắn nên làm những điều này vì rất có thể người dùng đang cố gắng làm điều xấu. Nhưng bảo mật sang một bên - điều gì sẽ xảy ra nếu bạn muốn chèn một chuỗi hợp pháp vào một truy vấn SQL và chuỗi chỉ có một ký tự trích dẫn duy nhất trong đó? Bạn vẫn phải thoát khỏi nó.



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. MYSQL nếu truy vấn chọn trả về 0 hàng thì truy vấn chọn khác?

  2. Hiển thị dữ liệu biểu đồ từ cơ sở dữ liệu

  3. Số lượng cột không khớp với số lượng giá trị ở hàng nhưng nó có

  4. Codeigniter không thể xóa các hàng khỏi bảng cơ sở dữ liệu bằng cách sử dụng phương thức nối

  5. Làm cách nào để THAM GIA TRÁI, để tạo Phạm vi ngày?