一尘不染

无需连接数据库即可替代mysql_real_escape_string

mysql

我想有一个不连接数据库就表现为mysql_real_escape_string的功能,因为有时我需要在没有数据库连接的情况下进行干式测试。mysql_escape_string已被弃用,因此是不可取的。我的一些发现:

http://www.gamedev.net/community/forums/topic.asp?topic_id=448909

http://w3schools.invisionzone.com/index.php?showtopic=20064


阅读 341

收藏
2020-05-17

共1个答案

一尘不染

没有DB连接就无法安全地转义字符串。mysql_real_escape_string()并且准备好的语句需要连接到数据库,以便它们可以使用适当的字符集转义字符串-
否则,使用多字节字符仍然可能发生SQL注入攻击。

如果仅 测试
,那么您可能还可以使用mysql_escape_string(),它不能100%保证不会受到SQL注入攻击,但是如果没有数据库连接就无法构建任何更安全的东西。

2020-05-17