如果我能够使用PHP 5,这会更容易,但不幸的是,这不是一个可行的选择吗?
我已经使用this stackoverflow thread中的RFC 2822来验证电子邮件格式是否有效,因为这是在表单页面上使用JS而不是最佳做法。
我会在保存之前再次验证它是否符合此格式,但我想知道是否有任何方法可用于帮助防止SQL注入?
答案 0 :(得分:3)
错误的方式 - “永远不要相信用户输入”!
首先确保数据采用您想要的格式,然后查询数据库。 首先,检查$ _POST [email_address]是否采用有效的电子邮件格式,例如与正则表达式。只有在使用有效的电子邮件格式时,才会查询数据库。
电子邮件正则表达式(PHP)代码:
<?php
$email = "test@test.com";
if(eregi("^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]+)*(\.[a-z]{2,3})$", $email)) {
echo "Email is valid.";
}
else {
echo "Email in invalid.";
}
?>
答案 1 :(得分:-1)
在验证完电子邮件之后,在输入上使用mysql_real_escape_string(),您应该在进入数据库的所有输入中使用该函数。