-2

可能重复:
为什么我不应该在 PHP 中使用 mysql_* 函数?

嘿,我可以在 php 中使用这样的代码吗:

$s_username = addslashes(strip_tags($_POST['username'])); 
$s_password = addslashes(strip_tags($_POST['password']));

在此之前使用此

$email = mysql_real_escape_string(strip_tags($_POST['email']));
$username = mysql_real_escape_string(strip_tags($_POST['username']));

...因为很多人说 mysql_real_escape_string 使用起来很危险?

4

1 回答 1

1

它已贬值,这意味着它没有得到维护,因此如果发现安全漏洞,PHP 开发人员将不会修复它。不过这并不危险,它只是转义了所有可用于 sql 注入的坏字符。

请改用 mysqli_* 函数或 PDO。这些实际上正在被维护并且更加安全。

于 2013-02-02T15:02:01.683 回答