Bagaimana untuk Meloloskan Rentetan dengan Selamat untuk Pertanyaan Pelayan SQL dalam PHP?

Melepaskan Rentetan dalam Pelayan SQL Menggunakan PHP

Dalam bidang pengaturcaraan pangkalan data, mencegah serangan suntikan SQL adalah amat penting. Melarikan diri daripada rentetan yang ditujukan untuk pertanyaan SQL ialah langkah penting dalam melindungi daripada eksploitasi berniat jahat.

Apabila berurusan dengan SQL Server secara khusus, ramai pembangun tertanya-tanya tentang alternatif kepada fungsi mysql_real_escape_string() yang telah ditamatkan daripada PHP. Walaupun addslashes() mungkin kelihatan seperti penggantian yang mudah, ia gagal dalam sesetengah situasi.

The Hex Bytestring Solution

Untuk penyelesaian yang komprehensif, pertimbangkan untuk menukar data menjadi rentetan bait heks. Pendekatan ini memastikan keserasian universal dengan semua jenis data:

$unpacked = unpack('H*hex', $data);
mssql_query('
    INSERT INTO sometable (somecolumn)
    VALUES (0x' . $unpacked['hex'] . ')
');

Fungsi Abstrak untuk Melarikan Diri

Untuk memudahkan proses, anda boleh menentukan fungsi tersuai:

function mssql_escape($data) {
    if(is_numeric($data))
        return $data;
    $unpacked = unpack('H*hex', $data);
    return '0x' . $unpacked['hex'];
}

mssql_query('
    INSERT INTO sometable (somecolumn)
    VALUES (' . mssql_escape($somevalue) . ')
');

Alternatif kepada mysql_error()

Untuk mengendalikan ralat dalam SQL Server, gunakan fungsi mssql_get_last_message(), yang menyediakan fungsi yang serupa dengan mysql_error().

Atas ialah kandungan terperinci Bagaimana untuk Meloloskan Rentetan dengan Selamat untuk Pertanyaan Pelayan SQL dalam PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!