對於登錄:
$username = mysql_real_escape_string(htmlspecialchars(strip_tags(trim($_POST['username'])), ENT_QUOTES));
$password = mysql_real_escape_string(htmlspecialchars(strip_tags(trim($_POST['password'])), ENT_QUOTES));
將數據插入我重新使用相同的mysql_real_escape_string(htmlspecialchars(strip_tags(trim(...
我覺得這是不好的做法,因爲我是使用這麼多的功能...這是防止mysql注入的正確方法&防止xss注入?還是完全過度?一切工作正常,沒有什麼是壞的 - 我的問題確實是,我是否在配對時使用過時的東西?是否只有一個功能可以用來完成這項工作?
謝謝。
切勿將密碼進入你的數據庫以純文本...哈希它和鹽它...然後你並不需要所有那些花哨的htmlspecialchars和striptags它要麼 – 2011-04-29 10:20:41
'mysql_real_escape_string() '這裏唯一必要的電話是 – 2011-04-29 10:23:08