mysql_real_escape_string(htmlspecialchars( $value ));够了吗?我怎样才能轻松改进它?
我在访问或插入我的数据库之前在每个 $_get 或 $_post 中使用它..
我确信这还不够..但是它有多安全?我可以将它与一些表达式结合起来以使其更安全吗?
多谢!
那么这个怎么样? mysql_real_escape_string(htmlspecialchars( $value ));
i'm using this in every $_get or $_post before acces or insert to my Database..
i'm sure it's not enough.. but how safe is it? can i combine it with some expresion to make it safer?
thanks a lot!
so how about this? mysql_real_escape_string(htmlspecialchars( $value ));
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(3)
不,这还不够。您应该使用
mysql_real_escape_string
防止sql注入攻击。No, that is not enough. You should use
mysql_real_escape_string
to prevent sql injection attacks.mysql_escape_string($value) 在清理将在 SQL 查询中使用的字符串时更聪明一些。
mysql_escape_string($value) is a bit smarter when sanitizing strings that will be used in an SQL query.
当您显示从数据库中提取的数据时,您应该使用 mysql_real_escape_string() 来保护您的数据库免受注入攻击(或者更好的是,使用 PDO 库之类的准备好的语句)和 htmlspecialchars() 。
You should use mysql_real_escape_string() to protect your database from injection attacks (or better yet, prepared statements with something like the PDO library) and htmlspecialchars() when you're displaying data pulled from a database.