重複の可能性:
htmlentities() と mysql_real_escape_string() は、PHP でユーザー入力を消去するのに十分ですか?
SQL インジェクション用の私のサイトでは、mysql_real_escape_string を使用しましたが、誰かがフォーラムに PHP コードを入力したいと考えているので、htmlentities 関数を作成したとします。私のコードは以下の通りです:
$not_con =mysql_real_escape_string(htmlentities($_POST['note']));
私がSQL dbを更新するよりも
mysql_query("UPDATE forumtopic set forumDescri='$not_con' WHERE forum_id=$f_id");
テキストボックスに簡単なPHPコードを入力すると<?php echo "hi" ?>、問題なくデータベースに挿入されましたが、入力すると.help meの<?php session_start(); echo "hi" ?>ようなエラーが表示されますFORBIDDEN you dont have permission 404 error