5
在我的註冊功能中使用此代碼修剪和轉義所有帖子可以嗎?或者是更好的做法,修剪和逃避每個輸入這很聰明還是不行?
// Trim and sanitize our input
$_POST = array_map('trim', $_POST);
$_POST = array_map('mysql_real_escape_string', $_POST);
if (invalidinput) dostuff
else insert into user (username,passwd) values ('{$_POST['username']}','{$_POST['passwd']}')
我當然更喜歡綁定參數,但只要你正在做一些事情來正確地逃避你的SQL輸入,沒有不使用它們的危害。 – 2010-01-22 21:36:02