那些遇到过的问题

为什么转义SQL值需要打开连接?

Ric*_*ler 10 php mysqli

为了清楚起见,任何人都可以解释为什么mysqli_real_escape_string必须阅读:

$query = mysqli_real_escape_string($conn,"SELECT * FROM tbl");
Run Code Online (Sandbox Code Playgroud)

而不只是:

$query = mysqli_real_escape_string("SELECT * FROM tbl");
Run Code Online (Sandbox Code Playgroud)

谢谢你的帮助!

Ali*_*xel 10

因为charset编码.

没有$conn,mysqli_real_escape_string()将无法检测连接使用哪个字符编码,并将盲目地尝试逃避常见的危险字符 - 留下一些潜在危险的字符集黑客经历.

真实的(未模拟的)预处理语句甚至更好(或者更安全,如您所愿),因为它们考虑了列字符编码而不是连接.

  • @RichardTinkler:这个评论太短了,无法告诉你关于它们的所有信息,但它们基本上是准备好了具有文字值占位符的查询.数据库引擎(而不是客户端API实现)负责替换(和转义)各个占位符中的文字值.首先阅读http://www.php.net/manual/en/mysqli.prepare.php. (2认同)

归档时间:

查看次数:

86 次

最近记录:

12 年,1 月 前
mysql_real_escape_string()坏了吗? 13
更多相关链接
相关归档
SOAP-ERROR:解析WSDL:无法加载 - 但适用于WAMP 51
如何用PHP生成随机密码? 37
PHPUnit,模拟接口和instanceof 36
SQLSTATE [42S22]:未找到列:1054'where子句'中的未知列'id'(SQL:select*from`songs`其中`id` = 5 limit 1) 27
如何将私有github存储库添加为Composer依赖项 24
PHPUnit:致命的错误处理 21
从远程服务器或URL复制文件 20
检测服务器端的视网膜(HD)显示 20
如何使用Laravel测试授权重定向? 20
SELECT COUNT和SELECT错误 -4
难疑归档
为什么处理排序数组比处理未排序数组更快? 23665
什么是__init__.py? 2074
什么是未定义的引用/未解析的外部符号错误,我该如何解决? 1418
在YAML中,如何在多行中断字符串? 1388
UNION和UNION ALL有什么区别? 1350
MVC和MVVM有什么区别? 1275
如何在SQL中使用JOIN执行UPDATE语句? 1262
如何检查字符串是否包含Objective-C中的另一个字符串? 1200
在React JSX中循环 1131
获取Android上的当前时间和日期 1058