Ric*_*cki 1 php mysql sql-injection
目前越来越多地进入MySQL.这是我不太讨厌的东西,但我现在想用它写一些脚本.
我的问题很简单,我正在编写一个搜索脚本,只是想知道我的PHP代码是否可以阻止一些SQL注入..代码:
$orig = $_POST['term'];
$term = mysql_real_escape_string($orig);
$sql = mysql_query("select * from db1 where content like '%$term%' ");
这个可以吗?或者,如果任何人有一个更容易/更好/更安全的方式做这个请求倾向于让我知道.
为避免在$_POST['term']未设置的情况下发出警告:
if (isset($_POST['term'])) {
$term = mysql_real_escape_string($_POST['term']);
$sql = mysql_query("select * from db1 where content like '%$term%' ");
// rest of sql query
}