我在每个$ _get或$ _post中使用它,然后才能访问或插入我的数据库..
我确定这还不够......但它有多安全?我可以将它与一些表达结合起来使它更安全吗?
非常感谢!
那怎么样? mysql_real_escape_string(htmlspecialchars($ value));
答案 0 :(得分:5)
不,这还不够。您应该使用mysql_real_escape_string来防止SQL注入攻击。
答案 1 :(得分:0)
mysql_escape_string($ value)会更聪明。
答案 2 :(得分:0)
你应该使用mysql_real_escape_string()来保护你的数据库免受注入攻击(或者更好的是,使用类似PDO库的预备语句)和htmlspecialchars()当你显示从中提取数据时数据库中。