sql >> データベース >  >> RDS >> Mysql

mysql_real_escape_stringを使用して期待される整数値をエスケープする必要がありますか、それとも(int)$e​​xpectedintegerを使用するだけですか?

    mysql_real_scape_stringはSTRINGS用です 。整数を「安全」に使用することはできません。例:

    $safe = mysql_real_escape_string($_GET['page']);

    どこでも何もしません

    $_GET['page'] = "0 = 0";

    そこにはSQLメタ文字がないからです。クエリは次のようになります

    SELECT ... WHERE somefield = 0 = 0

    ただし、intval()を実行すると、その0=0が変換されます。 プレーンな0に 。



    1. ミリ秒単位のCURRENT_TIMESTAMP

    2. ORACLE更新トリガー後:ORA-04091変更テーブルエラーの解決

    3. 列のすべての値を小文字に更新します

    4. MySQLラウンドロビンセレクト