Ich habe mich gefragt, wo in diesem Code $stmt ->real_escape_string($password);
, um hinzuzufügen:Wo kann die Zeichenfolge entfernt werden, um die Injektion von MySQL zu verhindern? mysql Injektion zu verhindern
if ($stmt = $this->connect->prepare($sql)) {
$stmt->bind_param('ss', $username, $password);
$stmt->execute();
}
Ist es nach der Vorbereitung Anweisung oder vor, weil ich gelesen habe, dass ich zum ersten Mal eine Connect-Anweisung haben muss, bevor entkommen , also meine Vermutung wäre nach der Vorbereitung Aussage, bin ich richtig?
Und was sollte ich noch über mysql injection wissen?
bind param macht immer das lol – dynamic
Sie müssen entkommen, wenn "bauen" die '$ sql' Zeichenfolge, wenn Sie innerhalb Daten (Strings) setzen, die von" außerhalb "kommen; Andernfalls ist die Bindung sicher. – ShinTakezou
@ yes123 - Ich wusste das nicht :) Also muss ich diese Escape-Anweisung nicht hinzufügen, weil Bindung immer entkommen wird? – Roland