我有以下代码:MySQL的消毒上和mysql_fetch_row
$username = $_SESSION['username'];
$query = ("SELECT id FROM users WHERE username = '$username'");
$result = mysql_query($query) or die (mysql_error());
$row = mysql_fetch_row($result);
$user_id = $row[0];
我应该在哪里申请在这里mysql_real_escape_string? 请问$user_id = mysql_real_escape_string($row[0]);
有用吗?
我知道MySQL应该留在过去。我很快就会转向MySQLi。
无处。您应该使用准备好的语句。 –
您想将其应用于潜在的用户输入,而不是您的输出 – MLeFevre
好的。所以我应该只为$ _POST ['something']使用mysql_real_escape_string,对吧? – SporeDev