php mysql可以跨站_防御mysql注入和跨站点脚本编写的最佳方法

不要！使用mysql_real_escape_string足以保护您免受SQL注入的侵害，stropslashes而这样做之后的工作使您容易受到SQL注入的攻击。如果你真的想它，把它之前，如下所示：

function madSafety($string)

{

$string = stripslashes($string);

$string = strip_tags($string);

$string = mysql_real_escape_string($string);

return $string;

}

stripslashes如果您这样做的话，它并不是真的有用mysql_real_escape_string。

strip_tags 防止HTML / XML注入，而不是SQL。

需要注意的重要一点是，根据对字符串的立即使用，应以不同的方式对字符串进行转义。

在执行MYSQL请求时，请使用mysql_real_escape_string。输出网页时，请使用htmlentities。要建立网络链接，请使用urlencode…

如vartec所述，如果可以使用占位符，那就一定要这样做。