我是否需要在所有表单输入上使用mysql_real_escape_string?

Bas*_*sic 0 php security

我知道我需要在用户输入字段(例如用户名输入字段)上使用它们,但是对于单选按钮(例如性别选项)呢?

Cha*_*les 5

停止!

你似乎是混乱逃跑数据验证数据消毒.

您需要验证任何数据.是的,这意味着确保单选按钮包含合法值.

您需要清理所有进入的数据.该文本字段是否应包含HTML?没有? strip_tags.这个字段应该是一个数字吗?将其转换为整数.

您需要转义放在数据库中的任何数据.如果你仍在使用史前的"mysql"扩展,这意味着mysql_real_escape_string构建查询时使用所有内容- 而不是之前.

您需要将回显的任何数据转义给用户. htmlspecialchars是你的朋友.

我之前已经更详细地解释了这一点,尽管这不是一个重复的问题.