有人如何绕过 mysql 转义字符串?
How can someone bypass mysql escape string?
我在代码中使用了 mysql 转义字符串。我正在获取电子邮件地址并将它们存储在数据库中。这是我使用的转义字符串函数。
mysqli_real_escape_string($connection, $_POST['data'])
但我今天查看了数据库,发现有人能够插入诸如 "C:/Windows/xyz"、SQL 查询等内容。这些已包含在数据库中。这是怎么发生的,即使 HTML 不允许您输入除了正确的电子邮件地址之外的任何内容?
清理和验证变量之间存在巨大差异。卫生为您的数据库操作提供 sql 安全变量,但没有人说用户不能通过您的表单订购 "fleventy" 啤酒。
如果您想验证正确的电子邮件地址字符串,您可以使用 filter_var($_REQUEST["email"], FILTER_VALIDATE_EMAIL) 函数。
我在代码中使用了 mysql 转义字符串。我正在获取电子邮件地址并将它们存储在数据库中。这是我使用的转义字符串函数。
mysqli_real_escape_string($connection, $_POST['data'])
但我今天查看了数据库,发现有人能够插入诸如 "C:/Windows/xyz"、SQL 查询等内容。这些已包含在数据库中。这是怎么发生的,即使 HTML 不允许您输入除了正确的电子邮件地址之外的任何内容?
清理和验证变量之间存在巨大差异。卫生为您的数据库操作提供 sql 安全变量,但没有人说用户不能通过您的表单订购 "fleventy" 啤酒。
如果您想验证正确的电子邮件地址字符串,您可以使用 filter_var($_REQUEST["email"], FILTER_VALIDATE_EMAIL) 函数。