Question

Я использую это в каждом $ _get или $ _post перед доступом или вставкой в мою базу данных.

Я уверен, что этого недостаточно ... но насколько это безопасно? Могу ли я объединить его с некоторым выражением, чтобы сделать его более безопасным?

Большое спасибо!

так как насчет этого? mysql_real_escape_string (htmlspecialchars ($ value));

Klaus Byskov Pedersen · Answer 1 · 13 января 2011

Нет, этого недостаточно.Вы должны использовать mysql_real_escape_string, чтобы предотвратить атаки SQL инъекций.

redwall_hp · Answer 2 · 13 января 2011

Вы должны использовать mysql_real_escape_string () для защиты вашей базы данных от атак внедрения (или, еще лучше, подготовленных операторов с чем-то вроде библиотеки PDO) и htmlspecialchars (), когда вы отображаете данные, извлеченные из базы данных .

Adam Prax · Answer 3 · 13 января 2011

mysql_escape_string ($ value) немного умнее при очистке строк, которые будут использоваться в запросе SQL.

mysql_real_escape_string (htmlspecialchars ($ value)); достаточно? как я могу легко улучшить это?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

mysql_real_escape_string (htmlspecialchars ($ value)); достаточно? как я могу легко улучшить это?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы