将mysql_real_escape_string()用于用户输入是否安全

时间:2015-03-27 12:35:50

标签: php mysql mysql-real-escape-string

最近我正在开发关于PHP的小问题生成程序。它使用一些LaTeX格式的数学公式。

  • 我在插入LaTeX公式时遇到问题,因为没有向MySQL数据库插入反斜杠。
  • 我在这里描述了这个问题:

    Backslashes are auto-removed while inserting LaTeX formulas to MySQL with PHP

  • 我使用mysql_real_escape_string()找到了解决方案。但这又出现了另一个问题。

  • 如果现在可以插入反斜杠,我的程序是否容易受到sql注入或用户可能做出的任何其他棘手的输入?

1 个答案:

答案 0 :(得分:0)

此功能通常专门用于清理用户输入,应始终按照文档使用: http://php.net/manual/en/function.mysql-real-escape-string.php