Mysql
 sql >> Datenbank >  >> RDS >> Mysql

Wie können wir die SQL-Injection von MySQL verhindern?

Sie können eine gespeicherte Prozedur verwenden, um die Datenbank abzufragen. Die gespeicherte Prozedur prüft den Datentyp und die gelieferten Parameter, bei Nichtübereinstimmung wird keine Abfrage ausgeführt.

Hier ist ein Beispiel einer gespeicherten Prozedur, die Sie verwenden können, um einen Datensatz in mysql einzufügen -

DELIMITER $$
CREATE PROCEDURE book_Insert (
in title varchar(30),
in isbn varchar(30),
out bookID tinyint(3) unsigned
)
BEGIN
insert into books (title, isbn) 
    values(title, isbn);
set bookID =last_insert_id();
END $$