如何使用PHP 4防止SQL注入$ _POST电子邮件字段

时间:2012-02-14 16:13:55

标签: php mysql sql-injection php4

如果我能够使用PHP 5,这会更容易,但不幸的是,这不是一个可行的选择吗?

我已经使用this stackoverflow thread中的RFC 2822来验证电子邮件格式是否有效,因为这是在表单页面上使用JS而不是最佳做法。

我会在保存之前再次验证它是否符合此格式,但我想知道是否有任何方法可用于帮助防止SQL注入?

2 个答案:

答案 0 :(得分:3)

错误的方式 - “永远不要相信用户输入”!

首先确保数据采用您想要的格式,然后查询数据库。 首先,检查$ _POST [email_address]是否采用有效的电子邮件格式,例如与正则表达式。只有在使用有效的电子邮件格式时,才会查询数据库。

电子邮件正则表达式(PHP)代码:

<?php
$email = "test@test.com";

if(eregi("^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]+)*(\.[a-z]{2,3})$", $email)) {
  echo "Email is valid.";
}
else {

  echo "Email in invalid.";
}
?>

答案 1 :(得分:-1)

在验证完电子邮件之后,在输入上使用mysql_real_escape_string(),您应该在进入数据库的所有输入中使用该函数。