是否有可能使用 gzcompress(以及从数据库中检索它之后的 gzuncompress)函数来防止 mysql 注入(inject)?或者有什么原因这行不通吗?或者有什么理由认为这根本不是一个好主意?
最佳答案
这是个坏主意,因为
理论上,可能存在一系列数据,在压缩时会导致 SQL 注入(inject)或简单地破坏查询
gz 压缩后的数据无法正确索引和搜索 - 您将拥有一个充满乱码的数据库
gzcompression 的计算量很大
只需在将数据输入数据库之前始终对数据进行清理,使用库的字符串转义方法(如 mysql(i)_real_escape_string()
)或参数化查询。
如果您可靠地做到这一点,则无需进一步保护。
关于php,通过使用gzcompress 防止mysql 注入(inject)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5847128/