参考:在没有 PDO 的情况下编写安全的 MySQL 代码
简介
MySQL 查询经常受到困扰由于处理不当而存在安全漏洞和错误。为了解决这个问题,了解编写安全可靠代码的最佳实践至关重要。
MySQL_* 函数的安全问题
使用 mysql_* 系列函数时,常见的安全问题出现:
用法示例
以下 PHP代码示例演示了如何使用 mysql_* 函数执行安全可靠的 UPDATE 查询:
<?php
# Connect and disable mysql error output
$connection = @mysql_connect($config['host'], $config['user'], $config['pass']);
# Select database
mysql_select_db($config['db'], $connection);
# Set character set
mysql_set_charset('utf8', $connection);
# Escape user input
$id = mysql_real_escape_string($_POST['id']);
$name = mysql_real_escape_string($_POST['name']);
# Execute query
$result = mysql_query('UPDATE tablename SET name = "' . $name . '" WHERE id = "' . $id . '"', $connection);
# Handle result
if ($result) {
echo htmlentities($name, ENT_COMPAT, 'utf-8') . ' updated.';
} else {
trigger_error('Unable to update db: ' . mysql_error(), E_USER_ERROR);
}
?>主要功能
结论
通过遵循上述最佳实践,您可以使用 mysql_* 函数编写安全且高效的 MySQL 查询。请记住,保护您的应用程序免受安全漏洞的影响并确保数据完整性至关重要。
以上是如何使用 mysql_* 函数编写安全的 MySQL 查询?的详细内容。更多信息请关注PHP中文网其他相关文章!
