我剛剛僱人做一個安全的形式,並且粘貼下面只是一個大的代碼片段:這是逃避多個領域的正確方法嗎?
$_POST = escape_all($_POST);
$some1 = $_POST['some1'];
$some2 = $_POST['some2'];
$some3 = $_POST['some3'];
$some4 = $_POST['some4'];
$some5 = $_POST['some5'];
$some6 = $_POST['some6'];
$some7 = $_POST['some7'];
$some8 = $_POST['some8'];
那是正道還是我要補充mysql_real_escape_string();到所有的變量?
取決於'escape_all'是什麼。 – Amber 2012-04-11 03:24:26
告訴你的「僱傭」關於'mysqli' – 2012-04-11 03:26:12
你真的更好*不*使用$ _POST搞砸了,而是使用編寫SQL的技術來避免轉義(例如命名參數)。 – Eli 2012-04-11 03:49:10