Adakah mysql_real_escape_string() Mempunyai Cacat Tidak Boleh Dibetulkan?
Sesetengah skeptik berpendapat bahawa fungsi mysql_real_escape_string() secara asasnya melindungi SQL dan pertanyaan tidak boleh dipercayai . Mereka menunjukkan artikel lapuk sebagai bukti.
Bolehkah Ia Digunakan untuk Penyata Disediakan Tersuai?
Walaupun terdapat kebimbangan ini, masih mungkin untuk memanfaatkan mysql_real_escape_string() untuk mencipta kenyataan yang disediakan tersuai. Walau bagaimanapun, ia memerlukan perhatian yang teliti terhadap pengendalian charset.
Penyelesaian:
Menurut dokumentasi MySQL C API untuk mysql_real_escape_string(), anda harus menggunakan mysql_set_character_set() untuk menetapkan set watak. Ini memastikan ia turut mempengaruhi set aksara yang digunakan oleh mysql_real_escape_string().
Contoh Kod:
#include <mysql.h>
int main() {
MYSQL *conn = mysql_init(NULL);
mysql_real_connect(conn, "localhost", "user", "password", "database", 0, NULL, 0);
// Change the encoding using mysql_set_charset()
mysql_set_charset(conn, "utf8");
// Create a custom prepared statement using mysql_real_escape_string()
char query[1024];
mysql_real_escape_string(conn, query, "SELECT * FROM users WHERE username='test'", sizeof(query));
// Execute the query
mysql_query(conn, query);
mysql_close(conn);
return 0;
}Dengan mengikuti pendekatan ini dan mengelakkan SET NAMA/SET SET KARAKTER , anda boleh menggunakan mysql_real_escape_string() dengan berkesan untuk melindungi pertanyaan SQL anda daripada suntikan.
Atas ialah kandungan terperinci Bolehkah mysql_real_escape_string() Digunakan dengan Selamat dengan Penyata Disediakan Tersuai?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
