安全第一 - 防止SQL注入。

时间:2012-08-19 13:56:11

标签: php mysqli

  

可能重复:
  Best way to prevent SQL Injection in PHP
  Does mysqli class in PHP protect 100% against sql injections?

因此,我一直在阅读有关SQL注入的安全性,而PDO似乎是最安全的方法来对抗任何此类攻击,我决定从MYSQL_转移到MYSQLI _。

所以在转换之后我决定了它的时间我开始使我的网站足够安全。

因此,举个例子,我开始使用mysqli_real_escape_string。下面的代码是否足够安全......或者我可以进一步构建它吗?我需要将它添加到我的SELECT语句,还是只是我的INSERT语句?

$sql_follows="SELECT * FROM friends WHERE user1_id=".mysqli_real_escape_string($mysqli,$user1_id)." OR user2_id=".mysqli_real_escape_string($mysqli,$user2_id);
$query_follows=mysqli_query($mysqli,$sql_follows) or die("Error finding friendships");

0 个答案:

没有答案