Mih*_*rga 13
我相信mysql_real_escape_string() mysql i _real_escape_string()是逃避输入数据的最佳方式
稍后编辑,因为现在所有内容都已弃用且信息必须有效:
尝试使用PDO,因为准备好的语句更安全或mysqli _*()函数,如果你真的需要让旧代码保持最新.
目前确保您安全的最首选方法是准备好的声明。
例子:
$preparedStatement = $db->prepare('SELECT * FROM memebers WHERE username = :username');
$preparedStatement->execute(array(':username' => $username));
$rows = $preparedStatement->fetchAll();
然后在显示您的数据使用时htmlspecialchars()