我正在接管别人的PHP项目,在查看代码时,我发现了很多这些:
$query = "INSERT INTO `".$_POST["tablename"]."` SET `cust_id`='".$_POST["cust_id"]."' , `cust_email`='".$_POST["cust_email"]."' ,`".$_POST["field"]."`='".mysql_real_escape_string($_POST["value"])."'";
mysql_query($select);
现在,据我所知,使用mysql_函数并不是一件好事,因为安全性,并且由于它们已经被弃用了......所以我想这些都必须改为mysqli_或者PDO? 但是$ _POST ["事情"]怎么样?他只逃脱了一个POST变量,为什么不逃避其他变量?
编辑:将此帖标记为重复:我知道这是一个常见问题,之前已被问过。这是因为它是如此常识,我具体要问这个。也许我错过了一些东西......
答案 0 :(得分:3)
让我澄清一下答案:不!此查询在所有情况下都不安全。