sql >> Database >  >> RDS >> Mysql

Hoe beschermt sprintf() tegen SQL-injectie?

sprintf zal je niet beschermen! Het vervangt alleen de %s

je moet mysql_real_escape_string dus:

$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = "%s" AND COL2 = "%s"',
mysql_real_escape_string($col1),
mysql_real_escape_string($col2));

is veiliger injectie

opmerking:ik raad je aan een kijkje te nemen op BOB , het is wat ik graag gebruik voor DBconnections en queries



  1. Hoe u alle tabellen in Oracle kunt weergeven

  2. Java JDBC negeert setFetchSize?

  3. Mysql 1050 Error Table bestaat al, terwijl dat in feite niet het geval is

  4. Inzicht in het opslaan van gegevens in SQL-databases door Android.com Zelfstudie