क्या mysql_real_escape_string() में ठीक न की जा सकने वाली खामियां हैं?

कुछ संशयवादियों का तर्क है कि mysql_real_escape_string() फ़ंक्शन मौलिक रूप से त्रुटिपूर्ण है और SQL क्वेरीज़ को विश्वसनीय रूप से सुरक्षित नहीं कर सकता है . वे साक्ष्य के रूप में पुराने लेखों की ओर इशारा करते हैं।

क्या इसका उपयोग कस्टम तैयार कथनों के लिए किया जा सकता है?

इन चिंताओं के बावजूद, बनाने के लिए mysql_real_escape_string() का उपयोग करना अभी भी संभव है कस्टम तैयार बयान. हालाँकि, इसके लिए वर्णसेट हैंडलिंग पर सावधानीपूर्वक ध्यान देने की आवश्यकता है। चरित्र सेट. यह सुनिश्चित करता है कि यह mysql_real_escape_string() द्वारा उपयोग किए गए कैरेक्टर सेट को भी प्रभावित करता है।

कोड उदाहरण:

#include मुख्य प्रवेश बिंदु() { MYSQL *conn = mysql_init(NULL); mysql_real_connect(conn, "localhost", "user", "password", "database", 0, NULL, 0); // mysql_set_charset() का उपयोग करके एन्कोडिंग बदलें mysql_set_charset(conn, "utf8"); // mysql_real_escape_string() का उपयोग करके एक कस्टम तैयार स्टेटमेंट बनाएं चार क्वेरी[1024]; mysql_real_escape_string(conn, query, "Select * FROM Users WHERE username='test'", sizeof(query)); // क्वेरी निष्पादित करें mysql_query(कॉन, क्वेरी); mysql_close(conn); वापसी 0; }

इस दृष्टिकोण का पालन करके और सेट नाम/सेट कैरेक्टर सेट से बचकर, आप अपने SQL प्रश्नों को इंजेक्शन से बचाने के लिए mysql_real_escape_string() का प्रभावी ढंग से उपयोग कर सकते हैं।