SELECT 查询起作用。因此,在插入代码时,使用 mysql_real_escape_string() 是可以的,因为它们没有任何影响。<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// insert one row
$name = 'one';
$value = 1;
$stmt->execute();
// insert another row with different values
$name = 'two';
$value = 2;
$stmt->execute();
?>
使用mysql_real_escape_string()可以提供字符串值的完整保护。数据中可能存在%和_并不重要,它们不构成安全威胁。
对于int值,您需要验证它们是否实际上是数字,或将它们放入引号中:
$intValue = mysql_real_escape_string($_POST["intValue"]);
$query = mysql_query("INSERT INTO table SET intValue ='$intValue'");
// note the quotes
没有引号,mysql_real_escape_string()对数字没有用!
然而,正如@Daniel A. White已经说过的,如果你刚开始学习,考虑使用PDO库。它比旧的MySQL函数更新,并提供参数化查询,如果正确使用,可以防止SQL注入。
使用参数化的插入语句。实际上,即使在选择和更新时也要使用参数化。
它会自动处理这些事情。
使用PDO:
$dsn = 'mysql:dbname=testdb;host=127.0.0.1';
$user = 'dbuser';
$password = 'dbpass';
try {
$dbh = new PDO($dsn, $user, $password);
} catch (PDOException $e) {
echo 'Connection failed: ' . $e->getMessage();
}
$calories = 150;
$colour = 'red';
$sth = $dbh->prepare('INSERT INTO fruit(name, colour, calories) VALUES(?, ?);');
$sth->execute(Array($calories, $colour));
<textarea rows="6" cols="80"><input name="adscript" type="text/javascript" class="text-input textarea" id="adscript" value="<?php echo htmlentities($row['adscript']);?>" size="80" height="40" maxlength="1000"></textarea>
addcslashes通常与普通转义或参数绑定一起使用,用于掩盖LIKE表达式的占位符。 - mario