不要!使用mysql_real_escape_string足以保护您免受SQL注入的侵害,stropslashes而这样做之后的工作使您容易受到SQL注入的攻击。如果你真的想它,把它之前,如下所示:
function madSafety($string)
{
$string = stripslashes($string);
$string = strip_tags($string);
$string = mysql_real_escape_string($string);
return $string;
}
stripslashes如果您这样做的话,它并不是真的有用mysql_real_escape_string。
strip_tags 防止HTML / XML注入,而不是SQL。
需要注意的重要一点是,根据对字符串的立即使用,应以不同的方式对字符串进行转义。
在执行MYSQL请求时,请使用mysql_real_escape_string。输出网页时,请使用htmlentities。要建立网络链接,请使用urlencode…
如vartec所述,如果可以使用占位符,那就一定要这样做。