今天早些时候,有人询问有关网络应用中输入验证策略的问题.
在撰写本文时,最重要的答案建议PHP只使用htmlspecialchars和mysql_real_escape_string.
我的问题是:这总是足够的吗?还有更多我们应该知道的吗?这些功能在哪里崩溃?
我没有经验的mysql或PHP,我一直在提到我的问题,但人们一直说你需要mysql注入保护,我已经查了一下,我真的不明白.谁能帮我?我对mysql很新,我遇到了一些麻烦
这是我的代码:
怎么改进?当我通过右键单击该站点来查看我的源代码时,不会出现任何php/mysql.
<?php
$conn = mysql_connect("", "", "");
if (!$conn) {
echo "Unable to connect to DB: " . mysql_error();
exit;
}
$search = "%".$_POST["search"]."%";
$searchterm = "%".$_POST["searchterm"]."%";
if (!mysql_select_db("")) {
echo "Unable to select mydbname: " . mysql_error();
exit;
}
$sql = "SELECT name,lastname,email
FROM test_mysql
WHERE name LIKE '%".$search."%' AND lastname LIKE '%".$searchterm."%'";
$result = mysql_query($sql);
if (!$result) {
echo "Could not successfully run query ($sql) from DB: " . mysql_error();
exit;
}
if(empty($_GET['search'])){ // or whatever …