带有参数filter_var的{{1}}函数是否可以接受清理数据库输入的方法?
我在从表单接收输入时使用以下内容,并希望了解这是否被视为可接受的做法。
我知道理想情况下应该使用参数化界面,但我对备选方案感到好奇,前提是这种方法有任何可接受的替代方案。
FILTER_SANITIZE_STRING答案 0 :(得分:1)
我会说不。它将根据您设置的标志去除或编码非字符串字符,但是使用mysql_real_escape_string等功能保持数据库清洁始终是一个好主意。
另外,在那里增加额外的安全层也不会造成任何伤害。
答案 1 :(得分:1)
我首先会说您使用PDO,并使用准备好的查询使您的查询更安全。 PDO Prepared statement
mysql_real_escape_string。功能很好,但不要同时使用addslashes()函数,它们可以互相矛盾。