可能重复:
防止 PHP 中的 SQL 注入的最佳方法 PHP中的
mysqli 类是否 100% 防止 sql 注入?
因此,我一直在阅读有关防止 SQL 注入的安全性的信息,而 PDO 似乎是对抗任何此类攻击的最安全方法,但我决定从 MYSQL_ 迁移到 MYSQLI_。
因此,在转换后,我决定是时候开始让我的网站足够安全了。
举个例子,我已经开始使用 mysqli_real_escape_string。下面的代码是否足够安全..或者我可以进一步构建它吗?我需要将它添加到我的 SELECT 语句中,还是只添加到我的 INSERT 语句中?
$sql_follows="SELECT * FROM friends WHERE user1_id=".mysqli_real_escape_string($mysqli,$user1_id)." OR user2_id=".mysqli_real_escape_string($mysqli,$user2_id);
$query_follows=mysqli_query($mysqli,$sql_follows) or die("Error finding friendships");