我的mysql_real_escape_string
PHP文档页面上阅读此评论:逃逸cookie值以防止SQL注入
也不要忘记查询数据库之前转义$ _COOKIE数组。在Firefox中,您可以编辑Cookie并插入并注入有害的SQL查询。
<?php
foreach ($_COOKIE as $key => $value) {
if(get_magic_quotes_gpc()) $_COOKIE[$key]=stripslashes($value);
$_COOKIE[$key] = mysql_real_escape_string($value);
}
?>
我是正确的思维我只有这样做,如果我在查询中使用这些cookie值?因此,如果没有sql语句使用这些cookie的值,那么不需要像上面那样转义cookie?
我使用的mysql_query不准备语句(该公司所有室内代码我与用途的mysql_query工作)
这将是一个毫无意义的操作。 strip_slashes和mysql_real_escape_string是** NOT **彼此反转,并且此代码可能会双/三/.../ N次转义数据,每次运行。您只能在查询中立即使用/引用要立即使用的数据,而不是“可能稍后”,然后您不会用引用的版本覆盖原始数据。 –