通过此函数后输入的安全性如何?
100%安全吗?
$id = $_POST['id'];
$id = mysql_real_escape_string($id);
问问题
195 次
2 回答
1
最好的方法是完全不使用预准备语句将 SQL 与用户提供的数据混合。
在您的情况下(假设id是一个数字),只需使用$id = intval($_POST['id']);. 使用纯整数,您不能注入任何东西。你甚至不需要mysql_real_escape_string()那种情况。
对于字符串参数,使用mysql_real_escape_string()就足够了 - 但永远不要忘记单引号 SQL 字符串中的参数!
于 2012-02-22T12:26:06.957 回答
1
这是不安全的。
根本与安全无关
于 2012-02-22T13:50:51.987 回答