sql >> Database >  >> RDS >> Mysql

MySQL-query niet ingevoegd wanneer PHP-variabele enkele aanhalingstekens bevat

Overweeg het gebruik van geparametriseerde zoekopdrachten met BOB bijvoorbeeld.

U kunt ook uw variabelen tussen haakjes plaatsen { }.

Bewerken:

Ik heb gemist dat je variabele $subject bevat enkele aanhalingstekens. Dit betekent dat je aan ze moet ontsnappen. (Zie de talloze andere antwoorden en mysql_real_escape_string() hierover.) Maar zoals je kunt zien, is het precies hoe injectie-aanvallen werken met enkele aanhalingstekens in de variabele. Als u eraan ontsnapt, kunt u dergelijke problemen voorkomen en uw zoekopdracht de verwachte gegevens laten opslaan.

Geen enkel antwoord over injectieaanvallen is compleet zonder te verwijzen naar Bobby Tables .



  1. programmatisch controleren op open verbinding in JDBC

  2. Hoe gebruik je Regexp in MySQL Vervang commando's?

  3. Voorbeeld Oracle-functie (retournummer)

  4. Een lijst maken van alle opgeslagen procedures in Oracle Database