当前位置: 文江博客话题详情

Perl 的 DBI 是否有与 PHP 的 mysql_real_escape_string() 等效的函数?

发布于 2024-08-20 18:28:00 字数 252 浏览 6 评论 0原文

有人可以告诉我是否有一个与 PHP 的 功能相同的函数DBI 模块中的 Perl 的 mysql_real_escape_string()

原文

Could some tell me if there is a function which works the same as PHP's mysql_real_escape_string() for Perl from the DBI module?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(5

你爱我像她 2024-08-27 18:28:00

不。逃脱。 SQL。

不。引用。 SQL。

使用 SQL 占位符/参数 (?)。 SQL语句的结构和占位符表示的数据值完全分开发送到数据库,因此(除非数据库引擎或DBD模块中存在错误)绝对不可能将数据值解释为SQL命令。

my $name = "Robert'); DROP TABLE Students; --";
my $sth = $dbh->prepare('SELECT id, age FROM Students WHERE name = ?');
$sth->execute($name);  # Finds Little Bobby Tables without harming the db

作为一个附带的好处,如果您重复使用 SQL 语句(它只需要准备一次),使用占位符也会更有效,而如果您不重复使用占位符,效率也不会降低(如果您不显式调用准备,它仍然会得到在执行查询之前隐式调用)。

Don't. Escape. SQL.

Don't. Quote. SQL.

Use SQL placeholders/parameters (?). The structure of the SQL statement and the data values represented by the placeholders are sent to the database completely separately, so (barring a bug in the database engine or the DBD module) there is absolutely no way that the data values can be interpreted as SQL commands.

my $name = "Robert'); DROP TABLE Students; --";
my $sth = $dbh->prepare('SELECT id, age FROM Students WHERE name = ?');
$sth->execute($name);  # Finds Little Bobby Tables without harming the db

As a side benefit, using placeholders is also more efficient if you re-use your SQL statement (it only needs to be prepared once) and no less efficient if you don't (if you don't call prepare explicitly, it still gets called implicitly before the query is executed).

回复 原文
没有你我更好 2024-08-27 18:28:00

喜欢引用吗?

如果您担心的话,我还建议您阅读 DBD::MySQL 的文档utf8。

Like quote?

I would also recommend reading the documentation for DBD::MySQL if you are worried about utf8.

回复 原文
余生再见 2024-08-27 18:28:00

来自 http://www.stonehenge.com/merlyn/UnixReview/col58.html:

  use SQL::Abstract;
  ... 
  my $sqa = SQL::Abstract->new;
  my ($owner, $account_type) = @_; # from inputs
  my ($sql, @bind) = $sqa->select('account_data', # table
                                  [qw(account_id balance)], # fields
                                  {
                                    account_owner => $owner,
                                    account_type => $account_type
                                  }, # "where"
                                 );
  my $sth = $dbh->prepare_cached($sql); # reuse SQL if we can
  $sth->execute(@bind); # execute it for this query

From http://www.stonehenge.com/merlyn/UnixReview/col58.html :

  use SQL::Abstract;
  ... 
  my $sqa = SQL::Abstract->new;
  my ($owner, $account_type) = @_; # from inputs
  my ($sql, @bind) = $sqa->select('account_data', # table
                                  [qw(account_id balance)], # fields
                                  {
                                    account_owner => $owner,
                                    account_type => $account_type
                                  }, # "where"
                                 );
  my $sth = $dbh->prepare_cached($sql); # reuse SQL if we can
  $sth->execute(@bind); # execute it for this query
回复 原文
孤独患者 2024-08-27 18:28:00

数据库处理方法“quote”

my $dbh = DBI->connect( ... );
$sql = sprintf "SELECT foo FROM bar WHERE baz = %s",
          $dbh->quote("Don't");

http://metacpan.org/pod/DBI#quote

Database Handle Method "quote"

my $dbh = DBI->connect( ... );
$sql = sprintf "SELECT foo FROM bar WHERE baz = %s",
          $dbh->quote("Don't");

http://metacpan.org/pod/DBI#quote

回复 原文
~没有更多了~

关于作者

南渊

暂无简介

0 文章
0 评论
21 人气
发私信

相关话题

更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

留蓝

文章 0 评论 0

18790681156

文章 0 评论 0

zach7772

文章 0 评论 0

Wini

文章 0 评论 0

ayeshaaroy

文章 0 评论 0

初雪

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文