我正在使用這在每個$ _get或$ _post訪問或插入到我的數據庫..
我敢肯定這是不夠的..但它有多安全?我可以將它與某些expresion結合起來使它更安全嗎?
非常感謝!
那該怎麼辦? mysql_real_escape_string(htmlspecialchars($ value));
我正在使用這在每個$ _get或$ _post訪問或插入到我的數據庫..
我敢肯定這是不夠的..但它有多安全?我可以將它與某些expresion結合起來使它更安全嗎?
非常感謝!
那該怎麼辦? mysql_real_escape_string(htmlspecialchars($ value));
不,這還不夠。您應該使用mysql_real_escape_string
來防止SQL注入攻擊。
當清理SQL查詢中使用的字符串時,mysql_escape_string($ value)有點智能。
應使用mysql_real_escape_string(),以防止注入攻擊數據庫(或更好,但有類似的PDO庫準備的語句)並用htmlspecialchars()當你顯示從數據庫中抽取數據。
`htmlspecialchars`與使數據庫輸入安全無關。使用數據庫的轉義函數或參數化查詢(PDO)。 – webbiedave 2011-01-13 18:03:23
你對主體和身體的改變使答案看起來不夠:看起來你問過「我應該做A」,答案是「不,你應該做A」。所以我建議你恢復你的修改。 – 2011-01-13 19:30:20