很久以前,我的朋友读了这个问题:How can I prevent SQL injection in PHP?。而且,我知道解决这个问题有很多好的答案。
我有一个朋友,他比我更好地使用PHP。昨天,他对我说:“这里有很多好的答案。但是,你能写出其他代码来解决这个问题吗?”。
他仍然使用 PHP 4 ;所以,他不喜欢使用任何 mysqli _ 函数,不是我。
所以,我在PHP中创建了一个简单的函数:
<?php
function MyFun($MyVar)
{
if(!get_magic_quotes_gpc()) { $MyVar = addslashes($MyVar); }
$MyVar = strip_tags($MyVar);
$MyVar = htmlentities($MyVar);
return trim($MyVar);
}
?>
我在$_POST[];或$_GET[];中使用了我的函数,例如:
$Var1 = MyFun($_POST['Txt1']);
$Var2 = MyFun($_GET['Txt2']);
我的朋友说:“它无法阻止任何 SQL注入。”我不这么认为。
你能告诉我:“用这个函数阻止 SQL注入是否安全?”。