sql >> データベース >  >> RDS >> Mysql

sprintf()はSQLインジェクションからどのように保護しますか?

    sprintfはあなたを保護しません! %sを置き換えるだけです

    mysql_real_escape_stringである必要があります:

    $sql = sprintf('SELECT * FROM TABLE WHERE COL1 = "%s" AND COL2 = "%s"',
    mysql_real_escape_string($col1),
    mysql_real_escape_string($col2));
    

    より安全な注射です

    注:PDO をご覧になることをお勧めします。 、それは私がDBconectionsとクエリに使用するのが好きなものです



    1. 大量のメモリを消費する大規模なDjangoQuerySetを反復処理するのはなぜですか?

    2. 日付間のLaravel$q-> where()

    3. MySQLで数値をフォーマットする方法

    4. Oracleで月の最終日を取得する方法