脚本宝典收集整理的这篇文章主要介绍了php – 为什么mysql_real_escape_string()不应该避免任何SQL注入?,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
好的,我可以接受这个建议,但为什么呢?很多人说(包括在SO上)MysqL_real_escaPE_string()就足够了,MysqL_real_escape_string()是好的,MysqL_real_escape_string()是第一种保护方式.
$sql = "SELECT * From users WHERE id=" + MysqL_real_escape_string($_GET['id']);
如果$_GET [‘user_id’]设置为1或1 = 1,则没有特殊字符且未过滤.
结果:返回所有行.
它变得更糟.怎么样…如果$_GET [‘user_id’]设置为1或is_admin = 1怎么办?
该功能仅用于单引号内部时使用.
以上是脚本宝典为你收集整理的php – 为什么mysql_real_escape_string()不应该避免任何SQL注入?全部内容,希望文章能够帮你解决php – 为什么mysql_real_escape_string()不应该避免任何SQL注入?所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。