PHP MYSQL 用sprintf+mysql_real_escape_string参数化可以防注入吗?

例如:$sql=sprintf("SELECT*FROM'%s'where'%s',mysql_real_escape_string($TableName),mysql_... 例如:
$sql = sprintf("SELECT * FROM '%s' where '%s',mysql_real_escape_string($TableName),mysql_real_escape_string($拼接字符串));
$res = mysql_query($sql);

请问这种情况还能注入吗? 展开
 我来答
3个回答
#合辑# 面试问优缺点怎么回答最加分?
我吐血很红
2013-06-21 · 超过26用户采纳过TA的回答
知道答主
回答量:57
采纳率:0%
帮助的人:40.4万
我也去答题访问个人页
展开全部
SQL的参数化是目前公认的最有效的防治sql注入的方法。
如果这种情况都还可以注入,那其他的就更没有用了
本回答由提问者推荐
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
mutouren1986
2012-12-07 · 超过19用户采纳过TA的回答
知道答主
回答量:55
采纳率:0%
帮助的人:47.7万
我也去答题访问个人页
展开全部
sql都这样写你累不
来自:求助得到的回答
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
wasdxie
2013-01-03 · 超过12用户采纳过TA的回答
知道答主
回答量:57
采纳率:0%
帮助的人:32.5万
我也去答题访问个人页
展开全部
这个真的不知道
来自:求助得到的回答
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
收起 更多回答(1)
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

京ICP证030173号-1   京网文【2023】1034-029号     ©2024Baidu  使用百度前必读 | 知道协议 | 企业推广

辅 助

模 式