2

可能重复:
在 PHP 中防止 SQL 注入的最佳方法

这段代码安全吗,因为我使用的是 mysql_real_escape_string 和 strip_tags 是否需要更改为 pdo ?我无法将以下代码转换为 pdo ,因为它的显示无法修改 header 。

<?php
include('config.php');
$link =mysql_connect($db_host,$username,$password);
mysql_select_db($db_name);

$id= $_POST["uniqi"]; 
$comments= $_POST["comments"]; 
$comments= mysql_real_escape_string($comments);
$comments = strip_tags($comments);

$update = "UPDATE mastertable SET comments = '$comments' WHERE id_pk= '$id'";
mysql_query($update, $link);
mysql_close();
header('Location: http://www.xxxx.com/xxxxx/xxxx.php?cntmsg=Comment Updated');
?>
4

1 回答 1

1

这不是安全代码 - 您的$id变量没有被您的代码处理。

$id= $_POST["uniqi"]; 
$id= mysql_real_escape_string($id);
$id = strip_tags($id);
于 2012-07-08T15:51:31.020 回答