-1

我有两种选择来存储我的 html 字符串:

  1. 关闭magic_quotes_gpc并使用 PDO 直接存储。
  2. 打开magic_quotes_gpc并让我的 html 字符串使用 PDO 与斜杠一起存储。然后,使用函数转换这些斜线stripslashes();

我需要知道这两种选择的优缺点,你推荐哪一种?我猜第一选择存在安全威胁。并用第二种选择加载到服务器上,但我需要知道专家怎么说。

4

2 回答 2

5

魔术行情已弃用。不要使用它们。请改用 PDO 和准备好的语句

附带说明一下,在这种情况下,您不应致电专家。如果 PHP 官方文档在一个大红框中说不要使用这个特性,那就没有问题了。

在此处输入图像描述

于 2013-03-11T19:28:10.953 回答
2

我所做的是像这样使用 PDO:

$stmt = $db->prepare('INSERT INTO table (firstname, lastname) VALUES (:firstname,:lastname)');
$stmt->bindParam(':firstname', $firstname, PDO::PARAM_STR);
$stmt->bindParam(':lastname', $lastname, PDO::PARAM_STR);
$stmt->execute();

希望能帮助到你。

于 2013-03-11T19:38:07.257 回答