我有一個問題需要澄清以最安全的方式將表單數據寫入mysql數據庫的最佳方法,以防止數據庫攻擊,同時剝離html標記。下面我有一個名爲form_write的函數來完成此操作,然後在聲明每個表單變量時在代碼中使用它。將html表單發佈到mysql數據庫並避免數據庫攻擊
function form_write($string)
{
return mysql_real_escape_string(strip_html_tags($string));
}
$name = form_write($_POST['name']);
$email = form_write($_POST['email']);
...etc
將不勝感激,如果任何人都可以看看,讓我知道如果我在正確的軌道上,或者如果存在要這樣做更好的方法。
謝謝
感謝您的額外信息。我沒有使用異常來驗證 - 只是我自己的PHP代碼。我會檢查出來 – 2012-03-12 17:31:32
好了,這個片段中的重要部分是驗證輸入的filter_var()函數。異常只是引發錯誤的一種方式。 – 2012-03-12 17:36:18
沒錯,謝謝你指出 – 2012-03-12 18:21:54