解決mysql_real_escape_string() 的缺陷
儘管它在PHP 應用程式中廣泛使用,但有些人對mysql_real_escape_string(提出了擔憂)。此函數旨在透過轉義使用者輸入中的特殊字元來防止 SQL 注入攻擊。
mysql_real_escape_string() 完全不夠嗎?
MySQL C API 文件承認潛在的mysql_real_escape_string() 的問題。它建議避免使用 SET NAMES/SET CHARACTER SET 語句來變更已連接的字元集。相反,應該在使用 mysql_real_escape_string() 之前呼叫函數 mysql_set_character_set()。
證明程式碼
PHP 函數 mysql_set_charset() 修改 mysql_real_escape_string 使用的字元集()。下面的程式碼片段對此進行了說明:
透過遵循此方法,可以明確設定 mysql_real_escape_string() 使用的字元集,確保特殊字元正確轉義。
以上是`mysql_real_escape_string()` 真的能夠防止 SQL 注入嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
