sql >> データベース >  >> RDS >> Mysql

シリアル化されたデータのエスケープとMySQLへの挿入

    パラメータをエスケープしてSQLクエリに入れるには、しません。 addlashesを使用しますが、mysql_real_escape_string

    例:

    <?php
      $param = mysql_real_escape_string($_GET['param']);
      $query = "SELECT f1, f2 FROM atable WHERE f3 = '$param' ";
      // these single quotes here are essential !!   ^      ^ 
      // if you leave out the quotes you **will** suffer SQL-injection.
    

    これは、SQLパラメータをエスケープする正しい方法です。
    または、プリペアドステートメントでPDOを使用する方がよい場合は、エスケープする必要はまったくありません。



    1. 名前が「hibernate5AnnotatedSessionFactory」のBeanのクラス[org.springframework.orm.hibernate5.LocalSessionFactoryBean]が見つかりません

    2. mysqlで過去6か月の値を取得します

    3. SQLiteにデータを挿入するときに制約に違反する行をスキップする方法

    4. サブクエリは複数の行を返します-MySQL