11

つまり、現時点では、php でデータをスクリーニングして mysql データベースに送信するのに最も安全です。

ありがとうございました )

4

3 に答える 3

16

mysql_real_escape_string() mysql i _real_escape_string()が入力データをエスケープする最良の方法だと思います

すべてが現在非推奨であり、情報が有効でなければならないため、後で編集します。

古いコードを最新の状態に保つ必要がある場合は、準備済みステートメントの方がはるかに安全なPDOを使用するか、 mysqli_*() 関数を使用してみてください。

于 2012-04-30T07:32:44.220 に答える
4

現在、あなたの安全を確保するための最も好ましい方法は、準備された声明です.

例:

$preparedStatement = $db->prepare('SELECT * FROM memebers WHERE username = :username');

$preparedStatement->execute(array(':username' => $username));

$rows = $preparedStatement->fetchAll();

次に、データの使用を表示するときhtmlspecialchars()

于 2012-04-30T08:27:54.483 に答える
3
validMySQL($var) {
$var=stripslashes($var);
$var=htmlentities($var);
$var=strip_tags($var);
$var=mysql_real_escape_string($var);
return $var
}

上記のコードは、ほとんどの無効なデータをサニタイズするのに役立ちます。ただし、mysql_real_escape_string が機能するには、mysql データベースに接続している必要があることを覚えておいてください...

于 2012-04-30T08:02:44.070 に答える