首先,我得到人們想要使用存儲過程,以便他們重用查詢並逃避處理。不過,我讀過很多開發者說,mysqli_real_escape_string
不能100%防止SQL注入。有人可以提供一個這樣的例子嗎?mysqli_real_escape_string如何防止SQL注入失敗?
從我關於這個問題的知識有限,我要說的是,mysqli_real_escape_string
將總是罰款字符串但你可能會被抓出來,除非你覈對一下電話號碼數值是一個整數,浮點,雙等
編輯:我忘了添加一些關鍵的東西:假設字符集是UTF8並且mysqli_set_charset已被相應調用。我見過的唯一注入依賴少數的字符集(沒有一個是UTF8)。
[SQL注入是得到周圍mysql_real_escape_string()( http://stackoverflow.com/questions/5741187/sql-injection-that-gets-around-mysql-real-escape-string) – 2013-05-01 09:00:32
+1,JW爲鏈接。 – 2013-05-01 09:05:09
鏈接的答案太華麗了,我的口味。 – 2013-05-01 09:16:02