Zapytanie o zastrzyk MySQL
Jestem zaznajomiony z przygotowanymi oświadczeniami i wiem, że są one najlepszą praktyką, jeśli chodzi o ochronę przed wtryskiem MySQL. Ale zastanawiam się, w jaki sposób ta instrukcja PHP / MySQL może być zagrożona atakiem wtrysku:
$result = mysqli_query($db,"SELECT name FROM users WHERE id = '".$_POST['name']."';");
Wydaje mi się, że dane wejściowe od użytkownika będą zawarte w pojedynczych cudzysłowach. Czy możesz wykonać więcej niż jedno zapytanie w jednymmysqli_query
komunikat?
Ponadto uczynienie powyższego bezpiecznego tak samo łatwym jak to ...
$result = mysqli_query($db,"SELECT name FROM users WHERE id = '".mysqli_real_escape_string($_POST['name'])."';");