0
我有這樣的代碼,以及由於某種原因,提出準確的數值(包括mysql_real ...)PHP的SQL注入逃生繩
mysql_query("INSERT INTO members (username) VALUES ('mysql_real_escape_string($uname)')");
我怎麼重寫這個,所以我沒有這個問題?
A
回答
2
mysql_real_escape_string是一個PHP函數,不是MySQL函數。
$value = mysql_real_escape_string($uname);
mysql_query("INSERT INTO members (username) VALUES ('$value')");
UPDATE:內嵌mysql_real_escape_string
mysql_query("INSERT INTO members (username) VALUES ('".mysql_real_escape_string($uname)."')");
2
你也可以使用一個prepared statement,其中PDO採取逃避的任何數據庫它(不僅僅是MySQL的)工作的護理:
$stmt = $dbh->prepare("INSERT INTO members (username) VALUES (:username)");
// either:
$stmt->bindParam(':username', $uname);
$stmt->execute();
// or as Corbin pointed out in the comments:
$stmt->execute(array('username' => $uname))
相關問題
- 1. 逃生繩和後
- 2. Mysql的真實逃生繩等問題
- 3. 逃逸cookie值以防止SQL注入
- 4. php sql注入
- 5. PHP - SQL注入
- 6. SQL注入的PHP
- 7. 逃生的功能後jQuery的報價,用繩子
- 8. SQL注入MySql php
- 9. PHP和SQL注入
- 10. MySQL的插入逃生
- 11. 防止SQL注入的PHP
- 12. 逃生與SQL Server符號
- 13. 逃生在SQL查詢
- 14. 逃生()%[]從字符串PHP
- 15. PHP打印功能逃生
- 16. PHP停止報價逃生
- 17. 解析錯誤逃生PHP
- 18. PHP SQL注入可能性
- 19. PHP MySQLI阻止SQL注入
- 20. PHP SQL注入預防
- 21. PHP防止SQL注入/ XSS
- 22. PHP Adodb Active Record SQL注入
- 23. SQL注入,行情和PHP
- 24. Php sql注入保護
- 25. 防止SQL注入與PHP
- 26. PHP SQL注入防護
- 27. PHP SQL注入和保護?
- 28. SQL注入企圖PHP 5.2.6
- 29. PHP Sql注入漏洞
- 30. PHP阻止SQL注入
是不是有一些方法,我可以將它綁定到SQL,所以我不必讓他們分開?我以爲我看到有人這樣做...... – droidus 2012-03-31 20:52:13
是的,但爲什麼? 'mysql_query(「INSERT INTO members(username)VALUES('」.mysql_real_escape_string($ uname)。「')」);' – David 2012-03-31 20:53:00
idk,只是好奇。謝謝! – droidus 2012-03-31 20:53:57