] यह लेख msql_real_esescape_string () और mysql_escape_string () का उपयोग करने की प्रभावशीलता की जांच करता है। आमतौर पर SQL प्रश्नों में डालने से पहले डेटा से बचने के लिए उपयोग किया जाता है। हालाँकि, क्या ये फ़ंक्शन सभी हमले के वैक्टर के खिलाफ पर्याप्त सुरक्षा हैं? ऐसा इसलिए है क्योंकि यह केवल प्रश्नों के भीतर PHP चर से बचने के लिए है। यह भागने की तालिका या कॉलम नाम या सीमा क्षेत्रों को संभाल नहीं सकता है। "कहाँ " । MySQL_REAL_ESCAPE_STRING ($ फ़ील्ड)। "="। MySQL_REAL_ESCAPE_STRING ($ मान); एक हैकर एक दुर्भावनापूर्ण क्वेरी को शिल्प कर सकता है जो बचने और अनधिकृत आदेशों को निष्पादित करता है। यह एक तालिका में सभी रिकॉर्ड को उजागर कर सकता है, संभावित रूप से संवेदनशील जानकारी का खुलासा कर सकता है। वे हैकर्स को मनमानी SQL प्रश्नों को निष्पादित करने की अनुमति दे सकते हैं। mysql_real_escape_string ($ argv [1]), mysql_real_escape_string ($ argv [2]), mysql_real_escape_string ($ argv [3])); शोषण)

इनपुट 3: अप्रत्याशित SQL प्रश्नों

को निष्पादित करता है। तैयार विवरण सर्वर-साइड तकनीक हैं जो केवल मान्य SQL की गारंटी देते हैं। यह दृष्टिकोण SQL इंजेक्शन, दोनों ज्ञात और अज्ञात दोनों के खिलाफ व्यापक सुरक्षा प्रदान करता है। $ कॉलम। '=? सीमा? '; $ स्टेटमेंट = $ pdo-> तैयार करें ($ SQL); $ स्टेटमेंट-> निष्पादित करें (सरणी ($ मूल्य, $ सीमा)); इंजेक्शन, वे पूर्ण सुरक्षा के लिए पर्याप्त नहीं हैं। तैयार विवरण मजबूत डेटाबेस सुरक्षा के लिए अनुशंसित दृष्टिकोण हैं।