真的只是一个快速查询,在我的PHP文件中,我有来自HTML表单的变量,如下所示:
$companyName = mysql_escape_string($_POST['compName']);
$AddLine1 = mysql_escape_string($_POST['add']);
$AddLine2 = mysql_escape_string($_POST['add1']);
$AddLine3 = mysql_escape_string($_POST['add2']);
在整个脚本中,我用mysql做了一些select,insert语句。我想知道的是,如果像上面那样只使用mysql_escape_string就可以,或者每次使用变量时都需要这样做吗?
可能是一个非常简单(或愚蠢)的问题,但我说我还是会问。
答案 0 :(得分:2)
一旦足够,$AddLine1-3
现在拥有“安全”值
答案 1 :(得分:1)
是的,只做一次就足够了。另外,如果$_POST['val']
应该是整数,那么您可以执行(int) $_POST['val']
并且它也将完全安全。
答案 2 :(得分:1)
您可能想查看PHP.NET。他们说:
mysql_escape_string
已被弃用,应替换为:
mysql_real_escape_string()
参考:
答案 3 :(得分:0)
您使用标准的PHP函数,因此只有在需要使用数据库查询时才能使用mysql_escape_string。