Php 对于许多post值,使用foreach和mysqli\u real\u escape\u字符串
我有一个收集大量数据的页面,在将sql查询插入数据库之前,我需要转义这些数据 我在SQL查询之前写下:Php 对于许多post值,使用foreach和mysqli\u real\u escape\u字符串,php,mysqli,Php,Mysqli,我有一个收集大量数据的页面,在将sql查询插入数据库之前,我需要转义这些数据 我在SQL查询之前写下: foreach($_POST as $k => $v) $_POST[$k] = mysqli_real_escape_string($conn,$v); 我的$conn是: $conn = new mysqli('localhost', 'xxx', 'yyy', 'zzz'); 仍然有效,但我不确定是否安全。这是处理POST变量的极其错误的方法。 在很多方面都是错误的 而且肯定不
foreach($_POST as $k => $v) $_POST[$k] = mysqli_real_escape_string($conn,$v);
$conn = new mysqli('localhost', 'xxx', 'yyy', 'zzz');
仍然有效,但我不确定是否安全。这是处理POST变量的极其错误的方法。 在很多方面都是错误的 而且肯定不安全 根据您在查询中使用POST数据的方式,此代码可能会被更正,或者根本不可用且不安全 正如巴尔马所说,你应该使用事先准备好的陈述。如果您也为insert数据准备了一条语句,则效果更好 这应该是安全的
$query=$conn->prepare("select * from yourtable where colum= ? and column2 = ? ");
$query->bind_param('ss', $_POST['var1'],$_POST['var2'] );
$conn = new mysqli('localhost', 'xxx', 'yyy', 'zzz');
$ARR_DATA = array();
foreach($_POST as $k => $v)
{
$ARR_DATA[$k] = mysqli_real_escape_string($conn,$v); // store your escaped value in $ARR_DATA
}
现在你可以使用
$ARR\u DATA$\u POST