PHP：如何防止此代码的Sql注入_Php_Mysql

PHP：如何防止此代码的Sql注入

php mysql

PHP：如何防止此代码的Sql注入,php,mysql,Php,Mysql,我是开发新手。我为facebook创建了一个简单的HTML5游戏。我使用post请求update.php将分数存储在数据库中下面是我的代码 <? include 'config.php'; mysql_connect(localhost,$user,$password); $id = mysql_real_escape_string($_POST['id']); $score = mysql_real_escape_string($_POST['score']); @mysql_sel

我是开发新手。我为facebook创建了一个简单的HTML5游戏。我使用post请求

update.php

将分数存储在数据库中

下面是我的代码

<? 
include 'config.php';
mysql_connect(localhost,$user,$password);
$id = mysql_real_escape_string($_POST['id']);
$score = mysql_real_escape_string($_POST['score']);
@mysql_select_db($database) or die( "Unable to select database");
$query = "UPDATE heli SET score = '$score' WHERE app = '$id'";
echo $query;
$result=mysql_query($query);
mysql_close();
?>

在PHP
上使用PDO
或MySQLi
扩展。请阅读下面的文章



不，您当前的代码不易受攻击。但是，您的其他代码可以是。

只要你把mysql\u real\u escape\u string（）

当作一种“通用注射预防器”，你就有危险了

根据我对类似问题的解释

从安全角度看，代码看起来还可以。请停止重新发布相同的问题…

mysql

扩展已被弃用。改为使用

mysqli

或

PDO

。您使用的是“mysql\u real\u escape\u string”，因此您的代码应该可以安全地防止SQL注入。但是你应该考虑移动到mymyLi或PDO，因为MySQL被否决了。@ TJONEN不是完全的。