-2

私は開発に不慣れです。Facebook用のシンプルなhtml5ゲームを作成しました。postRequestを使用しupdate.phpてスコアをデータベースに保存します。

以下は私のコードです

<? 
include 'config.php';
mysql_connect(localhost,$user,$password);
$id = mysql_real_escape_string($_POST['id']);
$score = mysql_real_escape_string($_POST['score']);
@mysql_select_db($database) or die( "Unable to select database");
$query = "UPDATE heli SET score = '$score' WHERE app = '$id'";
echo $query;
$result=mysql_query($query);
mysql_close();
?>

多くの人が私のコードがSQLインジェクションに対して脆弱であると不平を言っています。誰でも安全な良いコードを提案してください。ありがとう。

4

2 に答える 2

4

の使用PDOまたはMySQLi拡張PHP。以下の記事をお読みください。

于 2013-02-22T12:27:16.240 に答える
1

いいえ、現在のコードは脆弱ではありません。ただし、他のコードは可能です。あなたが一種の「普遍的な注射防止剤」として
服用している限り、あなたは危険にさらされています。mysql_real_escape_string()

これは私が同様の質問にした説明付きの答えです

于 2013-02-22T12:31:32.957 に答える