php - mysqli_real_escape_string 在这个例子中是否提供了足够的保护?
问题描述
我是新来的,仍在尝试了解 mysqli/PDO。但在我看来,如果我这次走我想要的 mysqli 路线,并使用:
$search = mysqli_real_escape_string($conn, $_GET['InputFormField']);
$search = str_replace("%", "\%", $search);
$search = str_replace("_", "\_", $search);
对于通过网络表单用户输入的任何内容,我将有足够的 sql 注入保护 - 对吗?其次,我的 Web 访问者与任何涉及编辑 mySQL 数据库的交互都没有——它们只是为 select 语句提供搜索条件。(这对接近安全性的方式有什么影响吗?)
解决方案
推荐阅读
- django - 为什么在 Django 模型图像中,Media.url 返回一个空字符串,而不是图像链接?
- python-3.x - “Flask Sqlite 数据库未显示查询”
- ios - 升级到 Xcode 版本 10.2 (10E125) 后,使用 range.upperBound.samePosition(in: utf16) 时出现致命错误
- android - Resource.Raw 不包含 Json 文件的定义
- apache-spark - 如何根据动态列比较pyspark中的2个数据框
- javascript - 在客户端机器中加载文件/文件夹
- .net - 无法从 C++/CLI 项目添加对 C# DLL 的引用
- javascript - Nuxt.js:如何使用不同URL的同一页面并根据URL切换要显示的组件
- elasticsearch - 弹性搜索 - 聚合分页
- typescript - Primeng p-radioButton - 文本作为锚点