这是聪明还是不聪明?

发布于 2024-08-18 20:05:54 字数 320 浏览 8 评论 0原文

可以使用此代码来修剪和转义我的注册函数中的所有帖子吗?或者更好的做法是修剪和转义每个输入

// Trim and sanitize our input
$_POST = array_map('trim', $_POST);
$_POST = array_map('mysql_real_escape_string', $_POST);

if (invalidinput) dostuff
else insert into user (username,passwd) values ('{$_POST['username']}','{$_POST['passwd']}')

Is it ok to use this code to trim and escape all post´s in my register function? or is it better practice to trim and escape each and every inputs

// Trim and sanitize our input
$_POST = array_map('trim', $_POST);
$_POST = array_map('mysql_real_escape_string', $_POST);

if (invalidinput) dostuff
else insert into user (username,passwd) values ('{$_POST['username']}','{$_POST['passwd']}')

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(2

安静 2024-08-25 20:05:54

不,因为:

  1. 它不适用于多维数组。
  2. 您可能不会使用每个 $_POST 值作为数据库参数,因此 3)。
  3. 它可能会不必要地缓慢。
  4. mysql_real_escape_string() 可能需要 $link_identifier 参数。

第 1 点可以使用自定义递归函数来计算,但代价是速度会更慢。

No, because:

  1. It doesn't work for multi-dimensional arrays.
  2. You might not use every single $_POST value as a DB parameter and thus 3).
  3. It can be unnecessarily slow.
  4. mysql_real_escape_string() might need the $link_identifier argument.

Point #1 can be worked out with a custom recursive function, at the expense of being even more slow.

孤檠 2024-08-25 20:05:54

不,

你一开始就不应该逃跑。您应该使用绑定参数。

No.

You shouldn't be escaping in the first place. You should be using bound parameters.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文