好吧,在我开始在学校项目中编写MySQL之前,我有一个问题。 mysql_real_escape_string是否真的可以安全使用?我听说它仍然不是很安全使用..那么有什么调整可以使SQL查询安全吗?我以前曾多次使用mysql_real_escape_string,但不是我正在为我的学校建一个网站,所以我要检查的第一件事是安全性。
答案 0 :(得分:5)
如果使用得当,mysql_real_escape_string可以安全使用(即,在将PHP变量插入查询的任何地方),但正如评论中指出的那样,这不是你唯一需要担心的事情。例如,HTML标记可以插入到您的数据库中,并用于跨站点脚本攻击。
您可能还想将预准备语句视为mysql_real_escape_string的替代方法,因为它们会自动为您转义输入,因此不会意外忘记转义参数。