$username = $_POST['username'];
$sanitizedUsername = strip_tags(stripcslashes($username));
足以防止malacious SQL注入和其他類型的攻擊。如果不是我應該使用什麼?
P.S.我想讓用戶選擇包含字母數字,空格和符號字符的用戶名和密碼(除了像mysql語句中使用的引號或星號之外的字符)。
$username = $_POST['username'];
$sanitizedUsername = strip_tags(stripcslashes($username));
足以防止malacious SQL注入和其他類型的攻擊。如果不是我應該使用什麼?
P.S.我想讓用戶選擇包含字母數字,空格和符號字符的用戶名和密碼(除了像mysql語句中使用的引號或星號之外的字符)。
當你插入到數據庫,使用:
mysql_real_escape_string($_POST['username']);
當你輸出到HTML,使用:
htmlspecialchars($_POST['username']);
使用string mysql_real_escape_string (string $unescaped_string [, resource $link_identifier ])
如果您的環境允許,請始終使用參數化查詢以避免SQL注入http://pl.php.net/manual/en/mysqli.prepare.php