htmlentities mysql_real_escape_string

-1

我只想知道我是否做得对。htmlentities mysql_real_escape_string

PHP

<?php 
if(isset($_POST['email']) && isset($_POST['password'])) { 
    $email = htmlentities(mysql_real_escape_string($_POST['email'])); 
    // then hash password 
} 
?>

HTML

<form action="" method="POST"> 
    <input type="email" name="email" /> 
    <input type="password" name="password" /> 
    <input type="submit" name="Login" /> 
</form>

是好与mysql_real_escape_string做htmlentities()在一起吗？
或我需要做什么？

来源

2012-09-18 Peace

可能重复的[htmlentities和mysql_real_escape_string]（http://stackoverflow.com/questions/11983757/htmlentities-and-mysql-real-escape-string） – hakre

我会说htmlentities()是很好的防止XSS攻击。所以，如果您要再次将这些数据重新呈现为HTML格式，请使用它。如果你只担心着名的SQL Injection攻击，我会说mysql_real_escape_string()就足够了。

记住你需要解码HTML实体，一旦你要再次显示它们。

来源

2012-09-18 16:36:00 Mahdi

非常感谢你！ – Peace

@ShalomPeace欢迎！ :) – Mahdi

heheeh！我只是想知道如何使用这两个..再次感谢.. – Peace

htmlentities mysql_real_escape_string

回答

相关问题