PostgreSQL版:

backslash_quote

这个参数控制字符串文本中的单引号是否能够用\'来表示。首选的 SQL 标准的方法是将其双写(''),但是PostgreSQL在历史上也接受\'。不过使用\'容易导致安全风险,因为在某些客户端字符集编码中,有多字节字符的最后一个字节在数值上等价于 ASCII 的\'。如果客户端代码没有做到正确转义,那么将会导致 SQL 注入攻击。如果服务器拒绝看起来带有被反斜线转义的单引号的查询,那么就可以避免这种风险。backslash_quote的可用值是on(总是允许\')、off(总是拒绝)以及safe_encoding(只有客户端编码不允许在多字节字符中存在 ASCII \时允许)。safe_encoding是默认设置。

注意在符合标准的字符串文本中,\就表示\。这个参数只影响不符合标准的文本的处理,包括转义字符串语法(E'...')。

建议 [EN]

If you have cleaned up your application code, you can set this to 'off' to help lock down the database. Older PHP applications will require the insecure setting of 'on'.

条评论

在postgresqlCO.NF (OnGres) 我们非常重视您的隐私并非常重视所有数据. 我们完全符合GDPR标准, 我们不断监控和改进我们的数据存储, 保留和合规机制.

但是,此网页不存储任何PII(个人身份信息. 存储任何数据的唯一服务是Google Analytics,我们使用它来收集网页的分析.

该网站包含来自官方文档的一些数据 PostgreSQL.org 项目, 从 Annotated.Conf, 经许可使用.

如果您对我们的服务条款或隐私政策有任何疑问或疑虑,请通过以下方式与我们联系 dataprotection _at_ ongres _dot_ com.