我正在接手别人的 PHP 项目,在查看代码时,我发现了其中很多:
$query = "INSERT INTO `".$_POST["tablename"]."` SET `cust_id`='".$_POST["cust_id"]."' , `cust_email`='".$_POST["cust_email"]."' ,`".$_POST["field"]."`='".mysql_real_escape_string($_POST["value"])."'";
mysql_query($select);
现在,据我所知,使用 mysql_ 函数并不是一件好事,因为安全,而且由于它们已被弃用......所以我想这些都必须改为 mysqli_ 或 PDO?但是 $_POST["things"] 呢?他只逃脱了一个 POST 变量,为什么不逃脱其他变量?
编辑:将此帖子标记为重复后:我知道这是一个常见问题,并且之前已被问过。正是因为这是常识,所以我特地问这个问题。也许我错过了什么......