关于数据库安全

时间:2010-11-01 13:16:37

标签: mysql security prepared-statement

我正在使用mysqli()的预处理语句;在我的网站上插入和检索数据我也使用bind_param所以我不直接在查询中添加变量。我使用strip_tags清理任何输入我应该注意什么?

1 个答案:

答案 0 :(得分:0)

不要在数据库输入上使用strip_tags():在浏览器输出中使用htmlentites()(或适当的urlencode())。