使用以下代码清理通过表单插入的数据:
$name= mysql_real_escape_string($_POST['name']);
所以为了测试它,我使用表单(输入)在字段中输入:
<?php echo "Hhaha";?>
当我检查个人资料页面时,名称没有显示(没有输出),但是当我检查数据库时,它显示的确实是:
<?php echo "Hhaha";?>
我这样做是对的吗?
答案 0 :(得分:1)
你应该看看众所周知的InputFilter类。可从phpclasses.org获取http://www.phpclasses.org/inputfilter。另外,C hris Shiflett's must-read book on the basics of PHP security。