magic_quotes_gpc vs stripslashes

时间:2013-03-11 19:26:35

标签: php pdo

我有两种选择来存储我的html字符串:

  1. 关闭magic_quotes_gpc并使用PDO直接存储。
  2. 打开magic_quotes_gpc并使用PDO让我的html字符串以斜杠存储。然后,使用函数stripslashes();
    3. 转换这些斜杠

    我需要知道这两个选择的优缺点,你推荐哪一个?我猜第一选择存在安全威胁。并在第二选择的服务器上加载,但我需要知道专家说的是什么。

2 个答案:

答案 0 :(得分:5)

Magic Quotes are deprecated。不要使用它们。请改用PDO和prepared statement

作为旁注,在这种情况下,您不应该致电专家。如果官方PHP文档在一个大红框中显示不使用此功能,则毫无疑问会被问到。

enter image description here

答案 1 :(得分:2)

我所做的就是像这样使用PDO:

$stmt = $db->prepare('INSERT INTO table (firstname, lastname) VALUES (:firstname,:lastname)');
$stmt->bindParam(':firstname', $firstname, PDO::PARAM_STR);
$stmt->bindParam(':lastname', $lastname, PDO::PARAM_STR);
$stmt->execute();

希望它有所帮助。

相关问题
最新问题