-2

重複の可能性:
PHP で mysql_* 関数を使用してはいけないのはなぜですか?

ええ、私はこのようなphpでコードを使用できますか:

$s_username = addslashes(strip_tags($_POST['username'])); 
$s_password = addslashes(strip_tags($_POST['password']));

これが使用される前に

$email = mysql_real_escape_string(strip_tags($_POST['email']));
$username = mysql_real_escape_string(strip_tags($_POST['username']));

...多くの人が mysql_real_escape_string を使用するのは危険だと言ったからですか?

4

1 に答える 1

1

減価償却されているということは、維持されていないことを意味するため、セキュリティ上の欠陥が発見された場合、PHP 開発者はそれを修正するつもりはありません。ただし、危険ではありません。SQL インジェクションに使用される可能性のあるすべての不正な文字をエスケープするだけです。

代わりに mysqli_* 関数または PDO を使用してください。それらは実際に維持されており、より安全です。

于 2013-02-02T15:02:01.683 に答える