目前,这是最安全的,可以在php中筛选数据,将它们发送到mysql数据库。
谢谢,你)
答案 0 :(得分:13)
我相信 mysql_real_escape_string() mysqli_real_escape_string()是逃避输入数据的最佳方法
稍后编辑,因为现在所有内容都已弃用且信息必须有效:
尝试使用PDO,因为准备好的语句更安全或mysqli_*() functions如果您确实需要保持旧代码的最新版本。
答案 1 :(得分:4)
validMySQL($var) {
$var=stripslashes($var);
$var=htmlentities($var);
$var=strip_tags($var);
$var=mysql_real_escape_string($var);
return $var
}
上面的代码有助于清理大多数无效数据,只需记住你要连接到mysql数据库以便mysql_real_escape_string工作......
答案 2 :(得分:3)
目前,确保您安全的最佳方式是准备好的陈述。
示例:
$preparedStatement = $db->prepare('SELECT * FROM memebers WHERE username = :username');
$preparedStatement->execute(array(':username' => $username));
$rows = $preparedStatement->fetchAll();
然后在显示您的数据时使用htmlspecialchars()
答案 3 :(得分:-2)
session.close()以上代码有助于清理大多数无效数据,只需记住您已连接到mysql数据库以便mysql_real_escape_string工作......