php中的mysql_escape_string

时间:2010-09-15 13:21:41

标签: php mysql variables

真的只是一个快速查询,在我的PHP文件中,我有来自HTML表单的变量,如下所示:

$companyName = mysql_escape_string($_POST['compName']);
$AddLine1 = mysql_escape_string($_POST['add']);
$AddLine2 = mysql_escape_string($_POST['add1']);            
$AddLine3 = mysql_escape_string($_POST['add2']);

在整个脚本中,我用mysql做了一些select,insert语句。我想知道的是,如果像上面那样只使用mysql_escape_string就可以,或者每次使用变量时都需要这样做吗?

可能是一个非常简单(或愚蠢)的问题,但我说我还是会问。

4 个答案:

答案 0 :(得分:2)

一旦足够,$AddLine1-3现在拥有“安全”值

答案 1 :(得分:1)

是的,只做一次就足够了。另外,如果$_POST['val']应该是整数,那么您可以执行(int) $_POST['val']并且它也将完全安全。

答案 2 :(得分:1)

您可能想查看PHP.NET。他们说:

mysql_escape_string

已被弃用,应替换为:

mysql_real_escape_string()

参考:

http://php.net/manual/en/function.mysql-escape-string.php

答案 3 :(得分:0)

您使用标准的PHP函数,因此只有在需要使用数据库查询时才能使用mysql_escape_string。