那些遇到过的问题

我是否从sql注射中拯救了自己?

use*_*391 4 php mysql sql-injection

我这样做了吗?这有助于避免sql注入吗?

$deleteid = htmlspecialchars(strip_tags(mysql_real_escape_string($_POST['listid'])));

mysql_send("DELETE FROM stage where listid='$deleteid'");
Run Code Online (Sandbox Code Playgroud)

SLa*_*aks 13

没有.

你应该只打电话mysql_real_escape_string.

htmlspecialcharsstrip_tags功能被用于编码的字符串被显示为HTML.
它们不应该与SQL一起使用

  • `mysql_real_escape_string($ stuff_to_encode);` (2认同)

Phi*_*ler 8

它可能会阻止SQL注入攻击,但它很难接近它.请改用准备好的查询.

由于您的评论表明您正在系统地对整个网站进行更改,因此请采用更好的方法.在您使用它时,您可能希望转移到非MySQL特定的数据库API,以防您以后想要切换到另一个后端.

归档时间:

查看次数:

649 次

最近记录:

15 年,1 月 前
在PHP中,当我向数据库提交字符串时,我应该使用htmlspecialchars()处理非法字符还是使用正则表达式? 19
更多相关链接
相关归档
Laravel Eloquent:如何仅从连接表中获取某些列 95
如何测试字符串是否包含PHPUnit中的另一个字符串? 61
循环中的endforeach? 52
如何在PHP/MYSQL中执行两个mysql查询? 29
在php中创建xml时删除xml版本标记 27
获取当前文件PHP的父文件夹 26
具有多个索引的主义2 23
Rails 3 Mysql问题 15
MySQL活动有多贵? 14
忽略PHP中的MySQL外键约束 13
难疑归档
为什么Google会在(1)之前提前; 他们的JSON回复? 3940
如何在JavaScript中检查empty/undefined/null字符串? 2645
"最小的惊讶"和可变的默认论证 2458
如何在Java中声明和初始化数组? 1946
C#的隐藏功能? 1475
如何撤消"git commit --amend"而不是"git commit" 1198
如何使用INER JOIN与SQL Server删除? 1181
如何从Git存储库中删除.DS_Store文件? 1167
如何刷新打印功能的输出? 1111
如何检查对象是否在JavaScript中有密钥? 1047