可能重复:
Is htmlentities() and mysql_real_escape_string() enough for cleaning user input in PHP?
在我的sql injecion网站中,我使用了mysql_real_escape_string,但现在假设有人想在论坛中输入PHP代码,因此需要htmlentities函数。我的代码如下:
$not_con =mysql_real_escape_string(htmlentities($_POST['note']));
比我更新sql db
mysql_query("UPDATE forumtopic set forumDescri='$not_con' WHERE forum_id=$f_id");
现在,当我在<?php echo "hi" ?>这样的文本框中输入简单的PHP代码时,成功地将数据插入到数据库中。但是
当我输入<?php session_start(); echo "hi" ?>时,会出现FORBIDDEN you dont have permission 404 error之类的错误。请在此帮助我