如何使用 mysql_* 函數來撰寫安全的 MySQL 查詢？

參考：在沒有PDO 的情況下編寫安全的MySQL 代碼

簡介

MySQL 查詢經常受到困擾因處理不當而存在安全漏洞和錯誤。為了解決這個問題，了解編寫安全可靠程式碼的最佳實踐至關重要。

MySQL_* 函數的安全問題

使用mysql_* 系列函數時，常見的安全性問題出現：

• SQL注入：攻擊者可以透過將惡意SQL 語句注入到使用者輸入中來操縱查詢。
• 跨站腳本 (XSS)： 惡意 JavaScript 可以透過將其註入輸出值來執行。

用法範例

以下 PHP程式碼範例示範如何使用 mysql_* 函數執行安全可靠的 UPDATE查詢：

<?php # Connect and disable mysql error output
$connection = @mysql_connect($config['host'], $config['user'], $config['pass']);

# Select database
mysql_select_db($config['db'], $connection);

# Set character set
mysql_set_charset('utf8', $connection);

# Escape user input
$id = mysql_real_escape_string($_POST['id']);
$name = mysql_real_escape_string($_POST['name']);

# Execute query
$result = mysql_query('UPDATE tablename SET name = "' . $name . '" WHERE id = "' . $id . '"', $connection);

# Handle result
if ($result) {
    echo htmlentities($name, ENT_COMPAT, 'utf-8') . ' updated.';
} else {
    trigger_error('Unable to update db: ' . mysql_error(), E_USER_ERROR);
}

?>

主要功能

• 轉義用戶輸入以防止SQL 注入.
• 對輸出值進行編碼以減輕XSS風險。
• 設定字元編碼來處理 Unicode 資料。
• 使用錯誤處理來通知使用者生產模式中的任何問題。
• 保持程式碼簡單易讀，易於閱讀

結論

透過遵循上述最佳實踐，您可以使用mysql_* 函數編寫安全且高效的MySQL 查詢。請記住，保護您的應用程式免受安全漏洞的影響並確保資料完整性至關重要。

以上是如何使用 mysql_* 函數來撰寫安全的 MySQL 查詢？的詳細內容。更多資訊請關注PHP中文網其他相關文章！