可能重复:
在 PHP 中防止 SQL 注入的最佳方法
这段代码安全吗,因为我使用的是 mysql_real_escape_string 和 strip_tags 是否需要更改为 pdo ?我无法将以下代码转换为 pdo ,因为它的显示无法修改 header 。
<?php
include('config.php');
$link =mysql_connect($db_host,$username,$password);
mysql_select_db($db_name);
$id= $_POST["uniqi"];
$comments= $_POST["comments"];
$comments= mysql_real_escape_string($comments);
$comments = strip_tags($comments);
$update = "UPDATE mastertable SET comments = '$comments' WHERE id_pk= '$id'";
mysql_query($update, $link);
mysql_close();
header('Location: http://www.xxxx.com/xxxxx/xxxx.php?cntmsg=Comment Updated');
?>