Mysql
 sql >> डेटाबेस >  >> RDS >> Mysql

मुझे mysql_real_escape_string का उपयोग कब नहीं करना चाहिए

कुछ कारणों से यह एक बुरा विचार है:

  • सबसे पहले, यह मानता है कि आपके इनपुट हमेशा डेटाबेस में और अकेले डेटाबेस में जा रहे होंगे। क्या होगा यदि HTML आउटपुट में कुछ उपयोग किया जा रहा है? या ईमेल में? एक फाइल के लिए या लिखा? या बहुत सी अन्य चीजें.. आपकी फ़िल्टरिंग हमेशा संदर्भ-संवेदनशील होनी चाहिए।
  • इससे भी महत्वपूर्ण बात यह है कि यह GET, POST, आदि के लापरवाह उपयोग को प्रोत्साहित करता है क्योंकि इस बात का कोई संकेत नहीं है कि उन्हें फ़िल्टर किया गया है। अगर कोई आपको देखता है तो

    . का उपयोग करें

    इको $_POST['name'];

    एक पृष्ठ पर, उन्हें कैसे पता चलेगा कि इसे फ़िल्टर किया गया है? या इससे भी बदतर ... क्या आपको यकीन है कि यह हो गया है? उस दूसरे ऐप के बारे में क्या? तुम्हें पता है, जिसे तुम अभी-अभी सौंपे गए थे? नए डेवलपर्स क्या करेंगे? क्या उन्हें पता भी होगा कि फ़िल्टर करना ज़रूरी है?



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. एक ही क्वेरी में प्रत्येक DISTINCT एक के लिए कई रिकॉर्ड चुनें

  2. शेल स्क्रिप्ट का उपयोग करके mysql डेटाबेस का उपयोग कैसे करें?

  3. PHP MySql और जियोलोकेशन

  4. समूहवार अधिकतम

  5. MySQL में केस स्टेटमेंट