sql >> データベース >  >> RDS >> Mysql

これは安全で強力な入力サニタイズ機能ですか?

    それは一般的すぎると思います。 かもしれません 多くの用途に安全ですが、ストリングに望ましくない副作用を与えることがよくあります。すべての文字列をそのようにエスケープする必要はありません。

    • mysql_real_escape_string() SQLクエリ内でのみ使用する必要があります。さらに良いことに、パラメータをPDOにバインドします。
    • データベースに挿入する前に、ストリップタグを包括し、エンティティをエンコードする必要があるのはなぜですか?たぶん、途中でそれをします。
    • XSS防止のために、htmlspecialchars() もっとあなたの友達です。引数として文字セットを指定します。

    したがって、mysql_real_escape_string()を使用します クエリの場合、およびhtmlspecialchars() ユーザーが送信した文字列をエコーするため。知っておくべきこともたくさんあります。 さらに読む



    1. エラー:終了していない引用符で囲まれた文字列またはその近く

    2. あるSQLServerから別のSQLServerにテーブルデータをエクスポートする

    3. 文字列値1、2をOracleクエリへの入力として渡すことができません

    4. PHPを使用してMySQLに「€」記号を保存するにはどうすればよいですか?