什麼時候應該跳過在MySQL中使用的字符串

Question

我對PHP相當陌生，但已經熟悉了一段時間的StackOverflow。

我最近一直在閱讀關於使用mysql_real_escape_string的適當時間，並希望以下任何建議。

是否在初始$ _POST變量上使用了mysql_real_escape_string一次，足以通過腳本保護字符串？

例如：

$username = mysql_real_escape_string($_POST["username"]); 
$password = mysql_real_escape_string($_POST["password"]); 
$email = mysql_real_escape_string($_POST["email"]); 
$repeat_password = mysql_real_escape_string($_POST["repeat_password"]); 

我跑了一堆的if語句之前聲明這些值終於一旦if語句完成我做一個INSERT到mysql數據庫：

mysql_query("INSERT INTO users (username, password, email, signup_date) VALUES ('$username', '$password', '$email', CURDATE())") or die(mysql_error()); 

mysql_real_escape_string在整個if語句的其他地方都沒有使用 - 對於菜鳥來說這是否足夠安全，同時仍然保持一些注入保護？

Answer 1

不，這不安全。您應該切換到prepared statements。

Answer 2

嘗試一份準備好的聲明：

$stmt = $con->prepare("INSERT INTO users (`username`, `password`, `email`, `signup_date`) VALUES (?, ?, ?, ?)"); 
$stmt->bind_param($username,$password,$email,CURDATE()); 
$stmt->execute(); 
$stmt->close(); 

Answer 3

雖然mysql_real_escape_string（）可能（目前）保護您免受SQL注入其棄用所以你應該不是你的mysql_ *函數，無論如何，在PHP的未來版本它會被刪除，使你的代碼無用。

爲什麼要駕駛一輛舊款福特嘉年華，當你擁有一輛閃亮的新蘭博基尼鑰匙？

Don't use mysql_* functions in new code。他們不再維護and are officially deprecated。請參閱red box？請改爲了解prepared statements，並使用PDO或MySQLi - this article將幫助您決定哪個。如果您選擇PDO，here is a good tutorial。