我有一个关于SQL注入的问题,这是使用strip_tags()内部的mysql_real_escape_string()。
您是否尝试过注入mysql_real_escape_string(strip_tags())代码?所以完整的代码会喜欢这个
SELECT * FROM table WHERE query='".mysql_real_escape_string(strip_tags())."'";
我想知道这是否安全,因为如果安全,我不想使用PDO更改当前代码:)
答案 0 :(得分:0)
strip_tags() 对于sql注入和mysql_real_escape_string 函数都没有任何关系,完全不相关问题。
因此,它不会增加sql安全性。
希望您的混淆现在已经清除,并且您将从现在开始使用准备好的陈述。