Php mysql_real_escape_字符串(htmlspecialchars($value));够了吗?我怎样才能轻松地改进它?
在访问或插入我的数据库之前,我在每一个$\u get或$\u post中都使用了这个 我相信这还不够。。但是它有多安全呢?我可以把它和一些表达式结合起来使它更安全吗 非常感谢Php mysql_real_escape_字符串(htmlspecialchars($value));够了吗?我怎样才能轻松地改进它?,php,mysql,security,sql-injection,Php,Mysql,Security,Sql Injection,在访问或插入我的数据库之前,我在每一个$\u get或$\u post中都使用了这个 我相信这还不够。。但是它有多安全呢?我可以把它和一些表达式结合起来使它更安全吗 非常感谢 这个怎么样?mysql\u real\u escape\u stringhtmlspecialchars$value 不,这还不够。您应该使用来防止sql注入攻击。不,这还不够。您应该使用来防止sql注入攻击。清理sql查询中使用的字符串时,mysql\u escape\u string$值稍微聪明一些。清理sql查询中使
这个怎么样?mysql\u real\u escape\u stringhtmlspecialchars$value 不,这还不够。您应该使用来防止sql注入攻击。不,这还不够。您应该使用来防止sql注入攻击。清理sql查询中使用的字符串时,mysql\u escape\u string$值稍微聪明一些。清理sql查询中使用的字符串时,mysql\u escape\u string$值稍微聪明一些。您应该使用mysql\u real\u escape\u字符串来保护数据库免受攻击注入攻击,或者更好,在显示从数据库提取的数据时,使用PDO库和htmlspecialchars之类的预处理语句。您应该使用mysql\u real\u escape\u字符串保护数据库免受注入攻击,或者更好,在显示从数据库中提取的数据时,使用PDO库和htmlspecialchars之类的工具准备语句。htmlspecialchars与确保数据库输入的安全无关。使用数据库的转义函数或参数化查询PDO进行此操作。您更改主题和正文会使答案看起来不充分:看起来您问了我应该做A,而答案是否,您应该做A。因此,我建议您恢复您的修改。htmlspecialchars与确保数据库输入安全无关。使用数据库的转义函数或参数化查询PDO。您更改主题和正文使答案看起来不充分:看起来您已经问过我应该做A,而答案是否定的,您应该做A。因此我建议您恢复您的修改。@Toni,是的,看起来更好。但是,我会保存原始值,例如不使用htmlspecialchars。当您检索这些值并在某些页面上显示它们时,您可以使用htmlspecialchars来防止XSS攻击,但不需要保存编码的字符串。因此,这是一种使函数像ifstring\u not\u danger$string{save\u normal\u sting;}或者{showgo\u to\u hell}这样的方法?我在考虑用Dreamweaver替换所有打开的文档:htmlspecialchars->mysql\u real\u escape\u string,@Toni,是的,它看起来更好。但是,我会保存原始值,例如不使用htmlspecialchars。当您检索这些值并在某些页面上显示它们时,您可以使用htmlspecialchars来防止XSS攻击,但不需要保存编码的字符串。因此,这是一种使函数像ifstring\u not\u danger$string{save\u normal\u sting;}或者{showgo\u to\u hell}这样的方法?我正在考虑Dreamweaver替换所有打开的文档:htmlspecialchars->mysql\u real\u escape\u string,