-2
我有這個$ search = mysqli_real_escape_string($ conn,$ _ POST ['search']); 現在,我想知道這是否可以轉換爲int,並且這是避免sql注入的安全選項。如何將mysqli_real_escape_string用於int值?
$ sql =「SELECT * FROM basket WHERE quantity = $ search」;
**這裏數量爲int
A
回答
0
是的,嚴格來說,鑄造一個變量(int)或intval()刪除該變量引起SQL注入的風險。
但這不是避免使用查詢參數的好理由。
首先,您可能同時使用字符串和整數變量與您的SQL語句組合。它使你的代碼更復雜,使用不同的方法來使變量安全,這取決於它們的類型。如果您只爲所有變量使用查詢參數,則可以簡化代碼。
請正確地做。
相關問題
- 1. 如何把值之間mysqli_real_escape_string
- 2. 如何使用mysqli_real_escape_string()
- 3. 何時使用mysqli_real_escape_string?
- 4. 將Color設置爲用於setRGB(int x,int y,int rgb)方法的int值? - Java
- 5. 用於季節選擇查詢的mysqli_real_escape_string?
- 6. 如何使用mysqli_real_escape_string轉義單引號?
- 7. 使用foreach和mysqli_real_escape_string很多帖子值
- 8. mysqli_real_escape_string使用環境
- 9. 如何將int轉換爲枚舉值?
- 10. 如何將varchar列值轉換爲int?
- 11. 如何將列表值轉換爲int
- 12. 如何將枚舉值轉換爲int?
- 13. C/C++:如何正確地將「unsigned int *」值轉換爲「unsigned int」?
- 14. mysqli_real_escape_string如何防止SQL注入失敗?
- 15. 如何在mysqli_real_escape_string和\ nl之間切換?
- 16. 如何處理<int,string,int>值?
- 17. 如何真正從int值int
- 18. mysqli_real_escape_string不能轉義任何
- 19. 如何將「int a」存儲到「int a array」中並且「int a」的值爲12345?
- 20. mysqli_real_escape_string()不正常
- 21. 警告mysqli_real_escape_string()的
- 22. array_map和mysqli_real_escape_string
- 23. PHP mysqli_real_escape_string問題
- 24. mysqli_real_escape_string與array_map
- 25. mysqli_real_escape_string()和mysql_real_escape_string()
- 26. 如何在增加/減少int值後將int值重置爲0
- 27. 怎樣才能用mysqli_real_escape_string
- 28. 在函數中使用mysqli_real_escape_string
- 29. 返回基於int值
- 30. __format__方法應該如何用於int?
使用'(int)$ search'或'intval($ search)'。 – ShiraNai7
如何在這裏實現它,並從SQL注入是安全的?我有這個$搜索=(INT)$搜索,它以某種方式工作,但這將避免SQL注入? –
它會的。另請參閱https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php – ShiraNai7