mysql_real_escape_string() est-il toujours une protection contre l'injection SQL ?

mysql_real_escape_string() est-il vulnérable à l'injection SQL ?

Des inquiétudes ont été soulevées concernant l'efficacité de mysql_real_escape_string() pour empêcher l'injection SQL. Certains articles plus anciens suggèrent que cette fonction peut avoir des défauts.

Mysql_real_escape_string() peut-il être utilisé en toute sécurité ?

La réponse à cette question réside dans la compréhension des limites de la fonction. Selon la documentation de l'API MySQL C :

If you need to change the character set of the connection, you should use the mysql_set_character_set() function rather than executing a SET NAMES (or SET CHARACTER SET) statement. mysql_set_character_set() works like SET NAMES but also affects the character set used by mysql_real_escape_string(), which SET NAMES does not.

Par conséquent, pour garantir une sécurité maximale, il est crucial d'utiliser mysql_set_charset() pour modifier l'encodage, plutôt que SET NAMES/SET CHARACTER SET. En effet, mysql_set_charset() s'aligne sur la fonction mysql_set_character_set() de MySQL, qui affecte le jeu de caractères utilisé par mysql_real_escape_string().

En suivant ces directives, vous pouvez utiliser efficacement mysql_real_escape_string() pour protéger vos requêtes contre l'injection SQL. .

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!