目前越來越多地進入MySQL。這是我一直沒有太過興奮,但我想現在寫一些腳本。在SQL注入方面是否安全?
我的問題很簡單,即時作出搜索腳本,只是想知道如果我的PHP代碼可以防止一些SQL注入..代碼:
$orig = $_POST['term'];
$term = mysql_real_escape_string($orig);
$sql = mysql_query("select * from db1 where content like '%$term%' ");
這是好嗎?或者,如果任何人有一個更容易/更好/更安全的方式來做這件事情,感覺傾向於讓我知道。
請花時間研究一下['PDO'](http://php.net/pdo),或者至少,開始使用['MySQLi'](http://php.net/ mysqli的)。你會做世界一個偉大的服務:) – 2011-04-20 20:04:43
感謝您的鏈接!通過簡單的教程,我在過去的一週會變得相當遙遠,所以我會在 – Ricki 2011-04-20 20:05:59
中給出一些看法。這很可能是安全的。當然,'mysql_escape_string()'也是「可能安全的」,直到它被發現它不是。 – geoffspear 2011-04-20 20:07:23