Bolehkah Anda Bergantung pada mysql_real_escape_string() untuk Melindungi Pertanyaan Anda?
Walaupun penggunaan yang betul, kebimbangan telah dibangkitkan mengenai kebolehpercayaan mysql_real_escape_string ) dalam melindungi daripada suntikan SQL. Untuk menjelaskan isu ini, mari kita mendalami batasan fungsi dan kesesuaiannya untuk membuat kenyataan yang disediakan tersuai.
Kod Bukti dan Analisis:
Menurut MySQL rasmi dokumentasi, fungsi mysql_real_escape_string() dipengaruhi oleh set aksara sambungan. Untuk memastikan prestasi optimum, ia mencadangkan menggunakan mysql_set_character_set() dan bukannya SET NAMES atau SET CHARACTER SET pernyataan untuk mengubah suai set aksara.
#include <mysql/mysql.h>
int main() {
// Create a MySQL connection
MYSQL *conn = mysql_init(NULL);
// Set the character set to UTF-8 using mysql_set_character_set()
mysql_set_charset(conn, "utf8", MY_CS_PRIMARY);
// Prepare a query using mysql_real_escape_string()
char *query = mysql_real_escape_string(conn, "SELECT * FROM users");
// Execute the query
mysql_query(conn, query);
// Release memory
free(query);
mysql_close(conn);
return 0;
}Dalam kod ini, kami secara eksplisit menetapkan set aksara kepada UTF-8 menggunakan mysql_set_character_set(), memastikan bahawa mysql_real_escape_string() digunakan dengan pengekodan yang betul.
Kesimpulan:
Walaupun pengehadan tertentu mungkin wujud, mysql_real_escape_string() masih boleh digunakan untuk mencipta pernyataan yang disediakan asas. Dengan memastikan set aksara yang sesuai ditakrifkan menggunakan mysql_set_character_set(), anda boleh mengekalkan tahap keselamatan yang diingini terhadap suntikan SQL.
Atas ialah kandungan terperinci Adakah mysql_real_escape_string() Benar-benar Boleh Dipercayai untuk Mencegah Suntikan SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
