Historisch gesehen, habe ich immerSind PHP MySQLi vorbereitete Abfragen mit gebundenen Parametern sicher?
mysql_real_escape_string()
für alle Eingaben, die von Benutzern verwendet, die die Datenbank zu berühren landen.
Jetzt, da ich vollständig zu MySQLi konvertiert habe und ich vorbereitete Abfragen mit gebundenen Parametern verwende, habe ich die Möglichkeit von SQL-Injection-Angriffen effektiv eliminiert?
Bin ich korrigiere ich nicht mehr
mysql_real_escape_string()?
mein Verständnis und die Grundlage für ein Projekt von mir Das ist, müssen sagen: obwohl als http://sourceforge.net/projects/mysqldoneright/files/Base/MysqlDoneRight-0.23.tar.gz/download
Das ist nicht etwas, was ich falsch machen wollen Jetzt, wo ich es veröffentlicht habe, könnte es auch andere betreffen.
Alle vom Benutzer bereitgestellten Eingaben werden jetzt in bind_parms enden.
Die in der Vorbereitungsphase bereitgestellten Abfragen sind statisch.
Ja. Bemerken Sie, dass Sie die ORDER BY nicht tun konnten? Bit mit Parametern. Gute Antwort. –
Ich habe einen Downvote? Downvoter, sollten Sie beschreiben, warum Sie denken, dass diese Antwort nicht zufriedenstellend ist. Vielleicht kann ich es verbessern. –