明確之前輸入的數據我不知道什麼是將它插入MySQL數據庫之前CELAR輸入數據的最佳方式。 有很多功能:trim
,addslashes
,mysql_real_escape_string
等等。 這時我使用這個簡單的功能:PHP:將其插入到mysql數據庫
function filter($var){
$data = preg_replace('/[^a-zA-Z0-9]/','',$var);
$data = trim(addslashes($data));
return $data;
}
什麼是做到這一點的最好方法是什麼?由於
這根本不是一個有用的方法: ,並沒有完全防止SQL注入。你正在使用哪個mySQL庫? –
'addslashes()'在這種情況下是多餘的。另外,如果您的應用程序接受unicode輸入,請爲數據庫中的b0rken條目加上自己的支持。 –
您應該根據輸入數據的類型對輸入數據進行清理 - 如果它必須是正整數,或者應該能夠包含一個減號?你不能有一個通用的解決方案。 – Narf