我有一個列表電影的表格,並且我已經包含了一個簡單的搜索功能。 我有一個文本字段的形式可以輸入標題或關鍵字,然後表單被提交。一個簡單的PHP搜索表單的安全
PHP/MySQL的代碼,做的工作是:
$find = $_POST['find'];
$find = mysql_real_escape_string($find);
$find = htmlspecialchars($find);
$sql = "SELECT * FROM tbl_buyerguide WHERE rel_date BETWEEN NOW() AND DATE_ADD(now(), INTERVAL 2 MONTH) AND title LIKE '%".$find."%' ORDER BY title";
其中「發現」是在搜索表單文本輸入的名稱。
這適用於所需目的的搜索功能。
我所有的問題是:
是的mysql_real_escape_string並用htmlspecialchars足以讓我的搜索表單安全嗎?
我已經閱讀了關於此問題的所有關於stackoverflow的問題,但我真的很希望有人知道對我說「是的,這就是你需要的」,或者「不,你也是需要考慮......「。
在此先感謝。 乾杯。
感謝KyleK,我必須說,我從來沒有聽說過下去,但我自學,所以我的知識是不完整的,而且我現在只有這麼幾年了。我會考慮PDO。再次感謝 – Almeister9