我看到了这个评论.... http://www.php.net/manual/en/function.mysql-real-escape-string.php#93005
并开始想知道为什么这会是一个坏主意.
由于以下几个原因,这是一个坏主意:
更重要的是,它鼓励大量使用GET,POST等,因为没有迹象表明它们已被过滤.如果有人看到你使用
echo $ _POST ['name'];
在页面上,他们怎么知道它被过滤了?或者甚至更糟......你确定它已经存在了吗?那个其他应用呢?你知道吗,你刚刚被交给谁?新开发者会做什么?他们甚至会知道过滤很重要吗?