Mysql
 sql >> Datenbank >  >> RDS >> Mysql

Wie schützt sprintf() vor SQL-Injection?

sprintf schützt Sie nicht! Es ersetzt nur den %s

Sie müssen mysql_real_escape_string also:

$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = "%s" AND COL2 = "%s"',
mysql_real_escape_string($col1),
mysql_real_escape_string($col2));

ist eine sicherere Injektion

Hinweis:Ich schlage vor, Sie werfen einen Blick auf PDO , es ist das, was ich gerne für DB-Verbindungen und Abfragen verwende