我已经为我的用户制作了一个编辑表单,现在当我更新它时需要对MySQL注入安全。
现在我有了这个查询
$sqledit = mysql_query("UPDATE **** SET titel = '$title', content = '$content' WHERE `ID` = ".mysql_real_escape_string($_POST['ID']),mysql_real_escape_string($_POST['txttitle'])) or die (mysql_error());
注意:$ content是一个ckeditor,内置了针对MySQL注入的保护方法吗?
当我在txttitle中输入类似:ééáá“,''øøí的内容时,它会出现以下错误。
mysql_query():提供的参数不是有效的MySQL-Link资源
答案 0 :(得分:0)
SQL注入不是导致错误的原因。但是,您滥用mysql_query()功能。签名是:
mysql_query ( string $query , resource $link_identifier = NULL )
但是你在第二个参数中提供了一个非链接标识符,这会导致错误。
注意:不推荐使用mysql_*函数,因为它们已被弃用。改为使用MySQLi或PDO。