lui*_*bal 0 php security sql-injection
当我");--从输入字段发送到我的localhost PHP服务器时,它自动将其转换为
\"); -
这似乎很棒,除了我不知道这种行为是多么值得信赖.虽然它似乎避免了SQL注入,但我的开发环境与生产环境不同,我担心生产环境可能没有自动激活这种保护......
为什么PHP会这样做(转换输入而不必使用mysql_real_escape_string)?它总是这样做还是仅限于某些扩展?依赖此行为来阻止SQL注入是否安全?