htmlentities和mysql_real_escape_string

时间:2012-08-16 08:58:15

标签: mysql

  

可能重复:
  Is htmlentities() and mysql_real_escape_string() enough for cleaning user input in PHP?

在我的sql injecion网站中,我使用了mysql_real_escape_string,但现在假设有人想在论坛中输入PHP代码,因此需要htmlentities函数。我的代码如下:

$not_con =mysql_real_escape_string(htmlentities($_POST['note']));

比我更新sql db

  mysql_query("UPDATE forumtopic set forumDescri='$not_con' WHERE forum_id=$f_id");

现在,当我在<?php echo "hi" ?>这样的文本框中输入简单的PHP代码时,成功地将数据插入到数据库中。但是 当我输入<?php session_start(); echo "hi" ?>时,会出现FORBIDDEN you dont have permission 404 error之类的错误。请在此帮助我

0 个答案:

没有答案