ich habe diesen Code, und aus irgendeinem Grund, bringt es auf den genauen Wert (einschließlich mysql_real ...)php SQL-Injection-Escape-Zeichenfolge
mysql_query("INSERT INTO members (username) VALUES ('mysql_real_escape_string($uname)')");
wie umschreiben ich das so mache ich das nicht haben Problem?
mysql_real_escape_string ist eine PHP-Funktion, keine MySQL-Funktion.
$value = mysql_real_escape_string($uname);
mysql_query("INSERT INTO members (username) VALUES ('$value')");
UPDATE: Inline mysql_real_escape_string
mysql_query("INSERT INTO members (username) VALUES ('".mysql_real_escape_string($uname)."')");
Sie auch eine prepared statement verwenden könnte, wo PDO Pflege für zu entkommen nimmt alles, was Datenbank funktioniert es mit (nicht nur MySQL):
$stmt = $dbh->prepare("INSERT INTO members (username) VALUES (:username)");
// either:
$stmt->bindParam(':username', $uname);
$stmt->execute();
// or as Corbin pointed out in the comments:
$stmt->execute(array('username' => $uname))
Wenn ich diese Syntax vorher noch nie gesehen habe, haben Sie den() around: username verpasst. Und es ist auch erwähnenswert, dass er $ stmt-> execute (array ('username' => $ uname)) in diesem Beispiel tun könnte. – Corbin
Sie haben Recht, repariert es. Danke :) –
PDO hat ein Problem, wo es das Passwort ausspuckt, wenn Sie Fehler melden. Außerdem denke ich, dass es für jemanden, der neu ist, schwierig sein könnte, ihn aufzunehmen. – David
gibt es keine Möglichkeit, ich könnte es einfach in den SQL-Bereich binden, also muss ich sie nicht separat machen? Ich dachte, ich hätte jemanden gesehen ... – droidus
Ja, aber warum? 'mysql_query (" INSERT INTO Mitglieder (Benutzername) VALUES ('".mysql_real_escape_string ($ uname)."') ");' – David
idk, nur neugierig. Vielen Dank! – droidus