这个查询足够安全吗?

时间:2013-04-26 08:26:35

标签: php mysql

我正在接管别人的PHP项目,在查看代码时,我发现了很多这些:

$query = "INSERT INTO `".$_POST["tablename"]."` SET `cust_id`='".$_POST["cust_id"]."' , `cust_email`='".$_POST["cust_email"]."' ,`".$_POST["field"]."`='".mysql_real_escape_string($_POST["value"])."'";

mysql_query($select); 

现在,据我所知,使用mysql_函数并不是一件好事,因为安全性,并且由于它们已经被弃用了......所以我想这些都必须改为mysqli_或者PDO? 但是$ _POST ["事情"]怎么样?他只逃脱了一个POST变量,为什么不逃避其他变量?

编辑:将此帖标记为重复:我知道这是一个常见问题,之前已被问过。这是因为它是如此常识,我具体要问这个。也许我错过了一些东西......

1 个答案:

答案 0 :(得分:3)

让我澄清一下答案:不!此查询在所有情况下都不安全。