这个代码是安全的,因为我使用的是mysql_real_escape_string和strip_tags 有没有必要改为pdo? 我无法将以下代码转换为pdo,因为它的显示无法修改标题。
<?php
include('config.php');
$link =mysql_connect($db_host,$username,$password);
mysql_select_db($db_name);
$id= $_POST["uniqi"];
$comments= $_POST["comments"];
$comments= mysql_real_escape_string($comments);
$comments = strip_tags($comments);
$update = "UPDATE mastertable SET comments = '$comments' WHERE id_pk= '$id'";
mysql_query($update, $link);
mysql_close();
header('Location: http://www.xxxx.com/xxxxx/xxxx.php?cntmsg=Comment Updated');
?>
答案 0 :(得分:1)
这不是安全的代码 - 代码不处理您的$id变量。
$id= $_POST["uniqi"];
$id= mysql_real_escape_string($id);
$id = strip_tags($id);