`MySQLI_REAL_ESCAPE_STRING（）是否足以防止SQL注入攻击？

首页 > 编程 > `MySQLI_REAL_ESCAPE_STRING（）是否足以防止SQL注入攻击？

`MySQLI_REAL_ESCAPE_STRING（）是否足以防止SQL注入攻击？

发布于2025-02-11

Is `mysqli_real_escape_string()` Enough to Prevent SQL Injection Attacks?

Is MySQLi's "mysqli_real_escape_string" Sufficient Against SQL Attacks?

Your code attempts to protect against SQL injections using "mysqli_real_escape_string()".但是，如URI2X所示，此度量不足。

漏洞到sql indection [mysqli_real_escape_scape_string（）注射攻击。例如，以下代码仍然可能是脆弱的：）; $ query =“从email ='”的用户中选择 *。 $电子邮件。 “'”;

而不是“ mysqli_real_escape_string（）”，防止SQL注射的最有效方法是使用准备好的语句。准备的语句将数据与查询字符串分开，以防止数据污染。

）; $ psw = mysqli_real_escape_string（$ db_con，$ _post ['psw']）; $ stmt-> execute（）;

严格的字符whitelisting

$email = mysqli_real_escape_string($db_con, $_POST['email']);
$query = "SELECT * FROM users WHERE email = '" . $email . "'";

Conclusion

"mysqli_real_escape_string()" alone is insufficient to protect against SQL injections.准备的陈述和严格的白名单为这些攻击提供了更强大的保障措施。

最新教程更多>

如何使用Python的请求和假用户代理绕过网站块？
如何使用Python的请求模拟浏览器行为，以及伪造的用户代理提供了一个用户 - 代理标头一个有效方法是提供有效的用户式header，以提供有效的用户 - 设置，该标题可以通过browser和Acterner Systems the equestersystermery和操作系统。通过模仿像Chro...

编程发布于2025-04-05
为什么使用固定定位时，为什么具有100％网格板柱的网格超越身体？
网格超过身体，用100％grid-template-columns 为什么在grid-template-colms中具有100％的显示器，当位置设置为设置的位置时，grid-template-colly修复了？问题：考虑以下CSS和html： class =“ snippet-code”> g...

编程发布于2025-04-05
如何将来自三个MySQL表的数据组合到新表中？
mysql：从三个表和列的新表创建新表答案：为了实现这一目标，您可以利用一个3-way Join。选择p。*，d.content作为年龄来自人为p的人加入d.person_id = p.id上的d的详细信息加入T.Id = d.detail_id的分类法其中t.taxonomy =...

编程发布于2025-04-05
Python读取CSV文件UnicodeDecodeError终极解决方法
在试图使用已内置的CSV模块读取Python中时，CSV文件中的Unicode Decode Decode Decode Decode decode Error读取，您可能会遇到错误的错误：无法解码字节在位置2-3中：截断\ uxxxxxxxx逃脱当CSV文件包含特殊字符或Unicode的路径逃...

编程发布于2025-04-05
如何将PANDAS DataFrame列转换为DateTime格式并按日期过滤？
将pandas dataframe列转换为dateTime格式示例：使用column（mycol）包含以下格式的以下dataframe，以自定义格式：}）指定的格式参数匹配给定的字符串格式。转换后，MyCol列现在将包含DateTime对象。 date date filtering > = p...

编程发布于2025-04-05
Java是否允许多种返回类型：仔细研究通用方法？
在Java中的多个返回类型：一种误解类型：在Java编程中揭示，在Java编程中，Peculiar方法签名可能会出现，可能会出现，使开发人员陷入困境，使开发人员陷入困境。 getResult（string s）; ，其中foo是自定义类。该方法声明似乎拥有两种返回类型：列表和E。但这确实是如此吗...

编程发布于2025-04-05
如何在php中使用卷发发送原始帖子请求？
如何使用php 创建请求来发送原始帖子请求，开始使用curl_init（）开始初始化curl session。然后，配置以下选项： curlopt_url：请求 [要发送的原始数据指定内容类型，为原始的帖子请求指定身体的内容类型很重要。在这种情况下，它是文本/平原。要执行此操作，请使用包含以下标头...

编程发布于2025-04-05
如何在GO编译器中自定义编译优化？
在GO编译器中自定义编译优化 GO中的默认编译过程遵循特定的优化策略。 However, users may need to adjust these optimizations for specific requirements.Optimization Control in Go Compi...

编程发布于2025-04-05
eval（）vs. ast.literal_eval（）：对于用户输入，哪个Python函数更安全？
称量（）和ast.literal_eval（）中的Python Security 在使用用户输入时，必须优先确保安全性。强大的python功能eval（）通常是作为潜在解决方案而出现的，但担心其潜在风险。本文深入研究了eval（）和ast.literal_eval（）之间的差异，突出显示其安全性含义...

编程发布于2025-04-05
如何同步迭代并从PHP中的两个等级阵列打印值？
同步的迭代和打印值来自相同大小的两个数组使用两个数组相等大小的selectbox时，一个包含country代码的数组，另一个包含乡村代码，另一个包含其相应名称的数组，可能会因不当提供了exply for for for the uncore for the forsion for for ytry...

编程发布于2025-04-05
版本5.6.5之前，使用current_timestamp与时间戳列的current_timestamp与时间戳列有什么限制？
在时间戳列上使用current_timestamp或MySQL版本中的current_timestamp或在5.6.5 此限制源于遗留实现的关注，这些限制需要对当前的_timestamp功能进行特定的实现。创建表`foo`（ `Productid` int（10）unsigned not n...

编程发布于2025-04-05
如何从PHP中的Unicode字符串中有效地产生对URL友好的sl。
为有效的slug生成首先，该函数用指定的分隔符替换所有非字母或数字字符。此步骤可确保slug遵守URL惯例。随后，它采用ICONV函数将文本简化为us-ascii兼容格式，从而允许更广泛的字符集合兼容性。接下来，该函数使用正则表达式删除了不需要的字符，例如特殊字符和空格。此步骤可确保slug仅包含...

编程发布于2025-04-05
如何使用Regex在PHP中有效地提取括号内的文本
php：在括号内提取文本在处理括号内的文本时，找到最有效的解决方案是必不可少的。一种方法是利用PHP的字符串操作函数，如下所示：作为替代 $ text ='忽略除此之外的一切（text）'; preg_match（'＃（（。 &&& [Regex使用模式来搜索特...

编程发布于2025-04-05
如何有效地转换PHP中的时区？
在PHP 利用dateTime对象和functions DateTime对象及其相应的功能别名为时区转换提供方便的方法。例如： //定义用户的时区 date_default_timezone_set（'欧洲/伦敦'）; //创建DateTime对象 $ dateTime = ne...

编程发布于2025-04-05
如何正确使用与PDO参数的查询一样？
在pdo 中使用类似QUERIES在PDO中的Queries时，您可能会遇到类似疑问中描述的问题：此查询也可能不会返回结果，即使$ var1和$ var2包含有效的搜索词。错误在于不正确包含％符号。通过将变量包含在$ params数组中的％符号中，您确保将％字符正确替换到查询中。没有此修改，PDO...

编程发布于2025-04-05