0

可能重复:
在 PHP 中防止 SQL 注入的最佳方法?

使用从另一个页面传递的变量时,我调用了以下函数。我的问题是,我可以向其中添加 urlencode 信息并使用一个函数,还是最好为通过地址栏和隐藏表单字段传递信息的变量设置单独的函数?

我没有使用 PDO,并且尽可能进行类型转换。

function checkInput($value) {
// Stripslashes
if (get_magic_quotes_gpc())

// Stripslashes
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}

// Quote if not a number
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}

谢谢您的帮助!

4

1 回答 1

1

Mysqli 还支持准备好的语句。如果 mysqli 不可用,总有像 PEAR DB 这样的系统也提供准备好的语句。

于 2012-10-10T01:21:27.867 回答