我知道最终的方法是使用mysqli_real_escape_string功能。但它很长,对于数值,我经常使用$value + 0语句。它足够安全吗?
答案 0 :(得分:1)
是的。不要忘记使用“real”这是新版本的mysqli_escape_string;)
顺便说一下,你应该在mysqli上使用预备语句:
您可以在http://www.php.net/manual/en/mysqli.quickstart.prepared-statements.php
上详细了解相关信息这将避免使用mysqli_real_escape_string
答案 1 :(得分:0)
对于数值变量mysqli_real_escape_string可能无法帮助你
例如在盲目的sql inejction中
我认为你可以使用intval()函数来提高安全性
这个链接更多地解释了这个功能
成功