我正在使用我继承的 PHP 应用程序,它......很有趣。
保护网站安全的许多有趣方法之一是在所有内容周围使用魔术引号,据我了解,这基本上是在每个 $_GET 和 $_POST 变量周围强制转换 addlashes()。
以前的程序员坚持认为这会使网站不透风,我已经读过这只会使网站易受攻击,如果 mySQL 表使用 GBK 编码而不是,一切都使用 latin1 编码。
实用性 [以及我在这里基本上只是临时工的事实] 意味着不会发生使用 PDO 重写网站的情况,但是否值得关闭魔术引号(因此不使用 addlashes() 方法)和强制转换mysql_real_escape_string() 是否适当地围绕每个变量?