我知道htmlspecialchars
用於html輸出,mysql_real_escape_string
用於插入數據庫。我不確定如何在這種情況下應用。例如mysql_real_escape_string,htmlspecialchars錯誤?
$search = mysql_real_escape_string(htmlspecialchars($_GET['search'],ENT_QUOTES));
mysql_query("INSERT INTO table1 VALUES ('','$search')",$this->connect);
echo "<a href='http://www.example.com/$search'>$search</a>";
我是不是要單獨頂行這樣mysql_real_escape_string
是插入前和htmlspecialchars
是後?我希望我不必,否則我必須去了很多代碼..
也會使用兩次做任何事情不同,然後一次?我敢肯定,在我的代碼中,我在同一個變量上使用了兩次htmlspecialchars
。
例如
$var = htmlspecialchars($one); //top of page
$var2 = htmlspecialchars($var); //another function