-2
要消毒數據經由形式插入我使用代碼如下:這是從表單中清理輸入信息的正確方法嗎?
$name= mysql_real_escape_string($_POST['name']);
所以,以測試它,我把在此在該領域使用的形式(輸入):
<?php echo "Hhaha";?>
當我檢查了個人資料頁面的名稱沒有顯示(無輸出),但是當我檢查了分貝它到底顯示:
<?php echo "Hhaha";?>
所以我這樣做對嗎?
你是什麼意思通過檢查DB? – Nickool
這意味着名稱沒有顯示出來,我檢查了數據庫,並且它顯示了我在名稱字段中的表單中插入的php代碼段。 – KPO
'mysql_real_escape_string'是爲了防止SQL注入。這與'htmlspecialchars'結合起來可能足以消毒這些信息。除非你非常愚蠢,並且你故意造成安全失敗,否則PHP代碼注入不是問題。 –