MySQL QUOTE() vs mysql_real_escape_string()?
MySQL QUOTE() vs mysql_real_escape_string()?
在MySQL中,QUOTE()
和mysql_real_escape_string()
有什么区别?从MySQL文档中,我知道以下内容:
QUOTE()
- 写入SQL查询
- 转义反斜杠、单引号、NUL、CTRL+Z
- 返回单引号字符串
- 行为依赖于MySQL服务器的字符集
mysql_real_eescape_string()
- 在执行查询之前用C/C++编写,允许在提交之前读取/修改转义字符串
- 与
QUOTE()
相比,使用起来非常不便 - 转义反斜杠、单引号、NUL、CTRL+Z和双引号、\n和\r
- 显然,添加了更多的引号,使字符在日志文件中易于阅读
- 行为依赖于MySQL服务器的字符集
忽略日志,转义n
和r
字符有用吗?有了这两种功能,客户端/服务器的功能效率是否有差异?如果开发人员希望在转义字符串输入查询之前对其进行处理,那么mysql_real_escape_string()
听起来很有用。然而,QUOTE()
是否没有提供最安全可靠的字符串转义方法?
我想知道是否应该对所有语言的所有查询使用QUOTE()
,而忘记使用特定语言函数转义字符串。
- QUOTE()
- mysql_real_eescape_string()
- 字符串文字
QUOTE()
似乎是用来在构造其他SQL语句的SQL语句中使用的。如果您不在SQL中,则应该使用mysql_real_escape_string()
。
[…]在C程序中,可以使用
mysql_real_escape_string()
C API函数对字符进行转义。[…]在构造其他SQL语句的SQL语句中,可以使用QUOTE()
函数。
如String Literals(MySQL手册)底部所述。
QUOTE()
已经在查询中了,所以它就像你什么都没放一样容易被打破。mysql_real_escape_string
对于保证任意字符串在查询中的安全性至关重要。
使用某种别名可以很容易地解决函数名称难以处理的问题。我不是C/C++用户,但它不是有宏可以用来写任何你想要的东西吗?它被长函数名取代了?
相关文章:
- cppcheck在const std::string[]上引发警告
- 将std::string传递给WriteConsole API
- 为std::string的某个索引赋值
- std中有类似find_last_of的函数,而string中没有
- 使用 std::string () const 函数启动线程或未来
- 使用char类型将decimal转换为string,将string转换为decimal
- 迭代和比较映射<字符串、矢量<string>> c++ 中的值
- 当我们进行一些操作时,应该使用什么'std::string'或'std::stringstream'?
- 将向量解析<string>为字符串
- 'string.assign(string.data(), 5)' 是明确定义的还是 UB?
- 如何更改大小(std::string)
- "string.h"在构建适用于iOS的qt应用程序中找不到消息
- C++:如何将 unix 时间的字符串转换为 *tm?(使用时间错误:"cannot convert 'String' to 'tm*' ")
- std::string 的对象真的可以移动吗?
- 与'operator='不匹配(操作数类型'String'且"void")
- SegFault 同时使用 std::string::operator+= 和函数作为参数
- 无法从 std::string 中提取C++ Unicode 符号
- std::string 构造函数如何处理固定大小的 char[]?
- <string> 使用 for 循环写入向量
- 确切地说,如何解释 std::getline(stream, string) 函数在C++中填充的字符串