Mysql
 sql >> Teknologi Basis Data >  >> RDS >> Mysql

Pencegahan Injeksi SQL PHP Dengan Operasi String

Tentu, Anda dapat melindungi dari injeksi dengan mysql_real_escape_string($postID) , selama Anda tidak keberatan dengan kueri setiap kali Anda memanggil fungsi tersebut.

PDO dan MySQLi menyediakan lebih dari sekadar perlindungan injeksi. Mereka memungkinkan pernyataan siap yang dapat melindungi terhadap injeksi tanpa banyak panggilan ke db. Ini berarti kinerja keseluruhan lebih cepat. Bayangkan mencoba menyisipkan ke tabel catatan pengguna dengan 30 kolom... itu banyak mysql_real_escape_string() panggilan.

Pernyataan yang disiapkan mengirim semua data sekaligus bersama dengan kueri dan melepaskannya di server dalam satu permintaan. Dukungan Mysql DB menyiapkan pernyataan, perpustakaan php mysql_ lama tidak mendukungnya.

Saatnya beralih ke mysqli atau lebih disukai PDO--Anda tidak akan pernah melihat ke belakang.



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. Bash Script Loop Melalui MySQL

  2. Cara Mengatur Set Karakter dan Susunan Tabel di MySQL

  3. Temukan jumlah total berdasarkan nilai dari tabel lain

  4. SQLSTATE[42000]:Kesalahan sintaks atau pelanggaran akses:1064 Anda memiliki kesalahan dalam sintaks SQL Anda — PHP — PDO

  5. Masukan pengguna, bersihkan dan sanitasi sebelum mengirim ke db