2013-09-30 56 views
1

我有幾個PHP頁面,我手動過濾POST和GET輸入以防止injection.Is有一種方法來過濾* mysql_real_escape_string *每POST和GET我的頁面自動recive?自動注入過濾

+0

您可以將'real_escape_string'應用於整個超全局(您必須遍歷它們),但我不會推薦它。 – Mansfield

+0

這就是爲什麼你不應該直接使用這些超全球植物。您應該讓對象爲您提取特定項目,並且該對象可以過濾數據以符合您的心願。 – Mark

+1

順便說一句,當它意圖進入數據庫時​​,在任何地方轉義您的數據是正確的,但這是糟糕的編程。您可能希望在整個代碼中的某個地方使用這些值,並且它們應該不受影響。爲了防止SQL注入,請查看準備好的語句。 – Mark

回答

0

海user11876542,

怎麼樣array_map( 「YOUR_FUNCTION」,$ _ POST)?

例如

$post = array_map('strip_tags',$_POST);