标签: php mysql tags sanitization
朋友。 我有一个页面,用户可以在其上添加评论(用户可以输入标签)。注释保存在DB中。现在我正在使用下一个方式。我将所有评论保存到DB中。我在渲染时逃脱了DB的评论。这样对吗?或者在DB插入DB之前最好逃脱? 抱歉,我的英文。提前谢谢。
答案 0 :(得分:1)
插入前退出。转义字符串的全部原因是为了防止SQL注入,这种情况发生在将用户输入的数据放入查询中时。 (我假设你问的是使用mysql_real_escape_string()。)
mysql_real_escape_string()