mysql_real_escape_string()用作防止MySQL注入的安全措施,同时从数据库中提取数据。但是在插入或更新语句的情况下是否真的有必要?如果是这样的话?
答案 0 :(得分:0)
我认为您对mysql_real_escape_string()的理解存在缺陷。
每次将用户输入插入SQL查询时,都需要转义字符串。所以,是的,你在运行insert和update语句时绝对会逃避。
当攻击方将SQL查询插入到注册表单中时,执行SQL注入攻击(mysql_real_escape_string()可以帮助防止)。 注册表单中的字符串可能会插入到SQL数据库中。
答案 1 :(得分:0)
是的,插入和更新查询对于SQL注入同样容易受到攻击。 建议使用PDO。