问题描述
清理要插入数据库的数据的正确方法是对所有要插入sql字符串的变量使用占位符。换句话说,永远不要这样做:
my $sql = "INSERT INTO foo (bar, baz) VALUES ( $bar, $baz )";
而是使用?占位符:
my $sql = "INSERT INTO foo (bar, baz) VALUES ( ?, ? )";
然后在执行查询时传递要替换的变量:
my $sth = $dbh->prepare( $sql );
$sth->execute( $bar, $baz );
您可以将这些操作与某些DBI便捷方法结合使用。上面也可以这样写:
$dbh->do( $sql, undef, $bar, $baz );
有关更多信息,请参见DBI文档。
解决方法
在将输入数据放入MySQL数据库之前,我可以在Perl中使用该功能来清理输入吗?我不太了解正则表达式,所以在我做自己的功能之前,我想知道是否已经有一个正则表达式。