Re: Effectiveness of pg_escape_string at blocking SQL injection attacks
В списке pgsql-php по дате отправления:
| От | Bruno Wolff III |
|---|---|
| Тема | Re: Effectiveness of pg_escape_string at blocking SQL injection attacks |
| Дата | |
| Msg-id | 20050527155922.GA3930@wolff.to обсуждение исходный текст |
| Ответ на | Effectiveness of pg_escape_string at blocking SQL injection attacks (Ed Finkler <coj@cerias.purdue.edu>) |
| Ответы |
Re: Effectiveness of pg_escape_string at blocking SQL injection attacks
|
| Список | pgsql-php |
On Fri, May 27, 2005 at 10:57:16 -0500, Ed Finkler <coj@cerias.purdue.edu> wrote: > Folks, > > The php mysql api has a function "mysql_real_escape_string" that seems > to be able to thwart known SQL injection attacks -- at least the ones of > which I and other people I've discussed this with know. I am curious to > know if pg_escape_string is as effective. If not, what would need to be > modified to make it more effective? > > (there is a possibility that I may be able to get a grad student to work > on this at the center, so detailed responses would be appreciated.) The best advice is to use bind parameters rather than trying to build SQL strings consisting partly of user input.
В списке pgsql-php по дате отправления:
Сайт использует файлы cookie для корректной работы и повышения удобства. Нажимая кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь на их использование в соответствии с Политикой в отношении обработки cookie ООО «ППГ», в том числе на передачу данных из файлов cookie сторонним статистическим и рекламным службам. Вы можете управлять настройками cookie через параметры вашего браузера