-1

我已经为我的用户制作了一个编辑表单,现在当我更新它时需要防止 MySQL 注入。

现在我有这个查询

$sqledit = mysql_query("UPDATE **** SET titel = '$title', content = '$content' WHERE `ID` = ".mysql_real_escape_string($_POST['ID']),mysql_real_escape_string($_POST['txttitle'])) or die (mysql_error());

注意:$content 是一个 ckeditor,内置了针对 MySQL 注入的保护方法?

仍然当我在 txttitle 中输入类似:ééáá",''øøí 的内容时,它会给出以下错误。

mysql_query():提供的参数不是有效的 MySQL-Link 资源

4

1 回答 1

0

SQL 注入不是您的错误的原因。但是,您滥用了该mysql_query()功能。签名是:

mysql_query ( string $query , resource $link_identifier = NULL )

但是您在第二个参数中提供了一个非链接标识符,这会导致错误。

注意:停止使用mysql_*函数,因为它们已被弃用。改用 MySQLi 或 PDO。

于 2013-11-06T09:52:09.690 回答