-2
要消毒数据经由形式插入我使用代码如下:这是从表单中清理输入信息的正确方法吗?
$name= mysql_real_escape_string($_POST['name']);
所以,以测试它,我把在此在该领域使用的形式(输入):
<?php echo "Hhaha";?>
当我检查了个人资料页面的名称没有显示(无输出),但是当我检查了分贝它到底显示:
<?php echo "Hhaha";?>
所以我这样做对吗?
你是什么意思通过检查DB? – Nickool
这意味着名称没有显示出来,我检查了数据库,并且它显示了我在名称字段中的表单中插入的php代码段。 – KPO
'mysql_real_escape_string'是为了防止SQL注入。这与'htmlspecialchars'结合起来可能足以消毒这些信息。除非你非常愚蠢,并且你故意造成安全失败,否则PHP代码注入不是问题。 –