mysql_escape_string в php

Question

Просто быстрый запрос. В моем PHP-файле есть переменные из моей HTML-формы, например:

$companyName = mysql_escape_string($_POST['compName']);
$AddLine1 = mysql_escape_string($_POST['add']);
$AddLine2 = mysql_escape_string($_POST['add1']);            
$AddLine3 = mysql_escape_string($_POST['add2']);

В этом скрипте я делаю несколько выборочных вставок с помощью mysql. Что мне интересно, так это нормально, просто использовать mysql_escape_string один раз, как описано выше, или мне нужно делать это каждый раз, когда я использую переменную?

Возможно, это действительно простой (или глупый) вопрос, но я сказал, что все равно задам.

Answer 1

Раз достаточно, $AddLine1-3 теперь содержит "безопасные" значения

Answer 2

Возможно, вы захотите проверить PHP.NET.Они утверждают, что:

mysql_escape_string

устарело и должно быть заменено на:

mysql_real_escape_string()

Ссылка:

http://php.net/manual/en/function.mysql-escape-string.php

Answer 3

Да, достаточно сделать это один раз.Кроме того, если $_POST['val'] должно быть целым числом, вы можете сделать (int) $_POST['val'], и это будет абсолютно безопасно.

Answer 4

Вы работаете со стандартными функциями php, поэтому вы можете использовать mysql_escape_string только тогда, когда вам нужно работать с запросами к базе данных.