※ 引述《foxzgerald (O⊥M)》之銘言:
: 另外. $sql 字串最好先脫序. 特別是這些查詢字串中的一些變數來自於使用者輸入
: ($_POST 或是 $_GET 之類的) .. 如果不先脫序. 很容易被 sql injection 攻擊
: 相關資訊請看 mysql-query 的第二個範例.或者 google :)
請問,所謂的脫序是不是泛指將$sql中的特殊符號(例如 ' )
做註記處理 (變成\')。
使人無法透過url和表單中的變數去中斷並改變mysql_query($sql)的執行結果?
透過mysql_escape_string就可以阻絕掉基本的sql injection嗎?
另外,我還是看不太懂mysql_escape_string和mysql_real_escape_string的差異
是差別在mysql_real_escape_string可以引用參照字嗎?
謝謝 :)
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 59.104.153.99