0
如果您選擇的語言/數據庫具有用於轉義用戶輸入的內置函數(例如mysql_real_escape_string),那麼SQL參數化的參數是什麼?有可能mysql_real_escape_string在某些時候可能使應用程序易受攻擊?SQL參數化與轉義
我使用參數化,因爲我已經被告知/已經閱讀它是更好的方式去,但我不只是盲目追隨。任何見解?謝謝!
A
回答
1
參數設置的參數是性能。
如果你要執行下面的句子幾次:
insert into table (col1, col2) values (?, ?);
這是更好地使用參數,因爲查詢會只進行評估(分析,計劃,分析和計算)一次,並且會執行很多次。
相關問題
- 1. 轉化參數與XSLT
- 2. 轉義':'和'?'在Rails的參數化SQL查詢
- 3. 在sql參數化查詢中轉義單引號
- 4. SQL參數化
- 5. 問題與參數化的SQL轉換爲HQL
- 6. 與SSRS參數SQL Server的轉義字符問題
- 7. 轉義GET參數
- 8. 從參數化SQL查詢
- 9. 參數化的SQL腳本
- 10. oracle sql的參數化值
- 11. C#ASP.NET SQL參數化
- 12. nodejs:如何轉義整個sql字符串而不是轉義每個參數?
- 13. 轉義linux shell參數
- 14. eval的參數轉義
- 15. 與參數化方法
- 16. Spock參數化與Scala TableDrivenPropertyChecks
- 17. 與參數化的構造
- 18. Javascript的Oracle SQL與參數
- 19. SQL與參數問題
- 20. 通過Python將CSV轉化爲SQL:傳遞多個參數
- 21. 將參數化的sql轉換爲oracle包
- 22. 如何Liquibase格式化SQL更新日誌定義參數
- 23. 參數化一個ServiceStack自定義的SQL查詢
- 24. 轉化數組JSON與PHP
- 25. 參數化和轉換構造函數
- 26. 我需要SQL轉義參數傳給Tridion經紀人嗎?
- 27. 什麼字符應該在sql字符串參數中轉義
- 28. 轉換SQL與計數
- 29. 參數化動態SQL與臨時表內
- 30. Sql參數化與VFP的語法錯誤OleDb
因此從安全的角度來看,參數化並沒有比內建的轉義函數有什麼優點? – Joseph 2010-12-10 19:28:39
如果您100%確定每次都會完美地轉義值,則應該與使用參數相同。 – 2010-12-10 19:30:02