这是聪明还是不聪明?
可以使用此代码来修剪和转义我的注册函数中的所有帖子吗?或者更好的做法是修剪和转义每个输入
// Trim and sanitize our input
$_POST = array_map('trim', $_POST);
$_POST = array_map('mysql_real_escape_string', $_POST);
if (invalidinput) dostuff
else insert into user (username,passwd) values ('{$_POST['username']}','{$_POST['passwd']}')
Is it ok to use this code to trim and escape all post´s in my register function? or is it better practice to trim and escape each and every inputs
// Trim and sanitize our input
$_POST = array_map('trim', $_POST);
$_POST = array_map('mysql_real_escape_string', $_POST);
if (invalidinput) dostuff
else insert into user (username,passwd) values ('{$_POST['username']}','{$_POST['passwd']}')
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
不,因为:
$_POST值作为数据库参数,因此 3)。mysql_real_escape_string()可能需要$link_identifier参数。第 1 点可以使用自定义递归函数来计算,但代价是速度会更慢。
No, because:
$_POSTvalue as a DB parameter and thus 3).mysql_real_escape_string()might need the$link_identifierargument.Point #1 can be worked out with a custom recursive function, at the expense of being even more slow.
不,
你一开始就不应该逃跑。您应该使用绑定参数。
No.
You shouldn't be escaping in the first place. You should be using bound parameters.