Mysql
 sql >> Teknologi Basis Data >  >> RDS >> Mysql

Apakah mysql_real_escape_string() SEPENUHNYA melindungi terhadap injeksi SQL?

Menurut Stefan Esser, "mysql_real_escape_string() [adalah] tidak aman ketika SET NAMES digunakan."

Penjelasannya, dari blognya :

SET NAMES biasanya digunakan untuk mengganti encoding dari default ke apa yang dibutuhkan aplikasi. Hal ini dilakukan dengan cara mysql_real_escape_string tidak tahu tentang ini. Ini berarti jika Anda beralih ke beberapa pengkodean multi byte yang memungkinkan garis miring terbalik sebagai 2nd 3rd 4th… byte Anda mengalami masalah, karena mysql_real_escape_string tidak lolos dengan benar. UTF-8 aman…

Cara aman untuk mengubah encoding adalah mysql_set_charset , tapi itu hanya tersedia dalam versi PHP baru

Namun, dia menyebutkan bahwa UTF-8 aman.



  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Cara Menyesuaikan Cadangan MySQL &MariaDB Anda dengan ClusterControl

  2. Bagaimana cara mengisi lubang di bidang kenaikan otomatis?

  3. Cara Mengimpor dan Mengekspor File CSV Menggunakan PHP dan MySQL

  4. Salin/duplikat database tanpa menggunakan mysqldump

  5. memperbarui kolom dengan nomor urut mysql