PHP:如何防止此代码的Sql注入
我是开发新手。我为facebook创建了一个简单的HTML5游戏。我使用post请求PHP:如何防止此代码的Sql注入,php,mysql,Php,Mysql,我是开发新手。我为facebook创建了一个简单的HTML5游戏。我使用post请求update.php将分数存储在数据库中 下面是我的代码 <? include 'config.php'; mysql_connect(localhost,$user,$password); $id = mysql_real_escape_string($_POST['id']); $score = mysql_real_escape_string($_POST['score']); @mysql_sel
update.php
将分数存储在数据库中
下面是我的代码
<?
include 'config.php';
mysql_connect(localhost,$user,$password);
$id = mysql_real_escape_string($_POST['id']);
$score = mysql_real_escape_string($_POST['score']);
@mysql_select_db($database) or die( "Unable to select database");
$query = "UPDATE heli SET score = '$score' WHERE app = '$id'";
echo $query;
$result=mysql_query($query);
mysql_close();
?>
在PHP
上使用PDO
或MySQLi
扩展。请阅读下面的文章
不,您当前的代码不易受攻击。但是,您的其他代码可以是。
只要你把mysql\u real\u escape\u string()
当作一种“通用注射预防器”,你就有危险了
根据我对类似问题的解释从安全角度看,代码看起来还可以。请停止重新发布相同的问题…
mysql
扩展已被弃用。改为使用mysqli
或PDO
。您使用的是“mysql\u real\u escape\u string”,因此您的代码应该可以安全地防止SQL注入。但是你应该考虑移动到mymyLi或PDO,因为MySQL被否决了。@ TJONEN不是完全的。