mysql_real_escape_string () – безопасность SQL-запросов.


Чтобы обезопасить базу данных от SQL-инъекций, следует экранировать кавычки в данных, отправляемых в запросе. Многие для этого используют функцию mysql_escape_string(), однако стоит напомнить, что данная функция не учитывает кодировку, с которой она работает, а главное – она считается устаревшей, начиная с версии php 5.3. Вместо mysql_escape_string() используйте mysql_real_escape_string ().

Результатом работы функции mysql_real_escape_string () является экранированная строка. Пример:

1
2
3
4
5
<?php
$title = "User's book";
$escaped_title = mysql_real_escape_string($title);
echo $title;
?>

Будет выведено:
User\’s book

Стоит также отметить, что данная функция может иметь еще и второй параметр – идентификатор соединения с базой данных. Если мы его не указываем, то функция использует последнее открытое соединение.





Другие посты

Категория: MySQL

Оставить комментарий