Очистка от внедрения SQL для ввода в базу данных Oracle
Здравствуйте, я уже некоторое время работаю с PHP и MySQL. Сейчас я работаю в среде PHP-Informix и PHP-Oracle. Я всегда использовал строку mysql_real_escape_string для данных, поступающих в базу данных. В настоящее время я работаю над серверами баз данных Informix и Oracle и не знаю о каких-либо функциях эвакуации для баз данных, которые должны быть подключены через драйверы, такие как OCI8 или odbc.
Не мог бы кто-нибудь немного рассказать о мерах безопасности для этих баз данных.
2 answers
Не выполняйте очистку, если вы не выполняете ОЧЕНЬ динамичные запросы. Параметризованные запросы - это правильный путь. Вот документация по PHP, в которой описано, как это сделать.
Да, в Oracle есть переменные привязки, которые автоматически предотвращают внедрение sql. Аккуратно, да?:) Адам Хоукс использует библиотеку PDO. Я лично использую oci8 с функцией oci_bind_by_name.