我想在数据库中使用之前清理用户输入。
我正在使用mysql_real_escape-string,但似乎在某些低版本的php中它无效。
我想使用stripshlases。它对我有用吗?
我该怎么办?
答案 0 :(得分:1)
使用prepared statements,mysql将负责任何特定于数据库的转义。但是,除此之外,还存在业务逻辑问题。
答案 1 :(得分:0)
mysql_real_escape_string已被弃用一段时间了。 PHP.net有一个page to help you find a replacement
stripslashes不会阻止SQL注入,并且还会导致潜在的合法用户输入问题。