为了账号安全,请及时绑定邮箱和手机立即绑定

如何安全过滤用户提交的数据提交到数据库

如何安全过滤用户提交的数据提交到数据库

摇曳的蔷薇 2018-10-04 17:30:05
sql注入总是无孔不入(ps:' or 1=1#),该如何安全的过滤好呢(我用的php和mysql_connect)?
查看完整描述

2 回答

?
慕桂英3389331

TA贡献2036条经验 获得超8个赞

select * from users where name = @name

参数化查询(Parameterized Query 或 Parameterized Statement)是访问数据库时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值。

在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有指令,也不会被数据库运行。Access、SQL Server、MySQL、SQLite等常用数据库都支持参数化查询。


查看完整回答
反对 回复 2018-10-10
  • 2 回答
  • 0 关注
  • 1187 浏览
慕课专栏
更多

添加回答

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信