我现在有这些代码:
> <?PHP
>
> if(isset($_POST['update'])) {
> $ts=$_POST['ts'];
> $user=$_POST['user'];
>
> mysql_query("UPDATE users SET block_newfriends='$ts' WHERE username='$user'") or die(mysql_error());
> echo '<div class="rounded-container">';
> echo '<div class="rounded-green rounded-done">';
> echo '<b>text here</b><br>';
> echo '</div>';
> echo '</div>';
> }
> ?>
和
<?php
$query = "SELECT * FROM users WHERE id = '".$_SESSION['user']['id']."'";
$result = mysql_query($query);
$row = mysql_fetch_array($result);
$x1 = $row['block_newfriends'];
$ch1[$x1] = "checked";
echo "text here
";
?>
如您所见,它包括PHP。但我不确定它是否可以安全地抵御SQL注入或XSS等任何黑客攻击。 我需要放一个mysql_real_escape_string,如果是,那究竟在哪里?
答案 0 :(得分:-2)
不安全,您应该考虑使用预备声明