由于某些原因我不能使用PDO所以我创建了一个简单的函数来清理输入数据,请查看并建议修改以防止SQL和XSS。这是功能。
function cleanStr($cStr) {
$cStr = trim($cStr);
$cStr = htmlspecialchars($cStr);
$cStr = addslashes($cStr);
return $cStr; }
答案 0 :(得分:1)
尽量避免自己进行这种逃避,因为捕捉所有注射可能性并不容易。
如果您使用的是MySQL并且无法使用PDO,请查看是否可以使用mysqli_real_escape_string功能。
答案 1 :(得分:-1)
您还可以添加更多功能以防止SQL注入
$cStr = mysql_real_escape_string($cStr);