我已经让用户输入了一些信息(姓名,出生日期等),然后我需要将这些值插入到数据库中。我应该使用
如果只需要使用一个,那么应该使用哪一个? 如果需要同时使用两个,那么先使用哪一个,最后使用哪一个?
mysql_real_escape_string()
来防止MySQL注入,同时使用htmlspecialchars()
来处理HTML标签,这两个函数都需要吗?还是只需要其中一个?如果只需要使用一个,那么应该使用哪一个? 如果需要同时使用两个,那么先使用哪一个,最后使用哪一个?
mysql_real_escape_string()
= 对进入数据库的数据进行编码(但这在当前的“最佳实践”中并不必要,应该使用参数化查询),而htmlspecialchars()
则是用于在将内容显示回用户时进行输出编码。输出编码绝对是必要的。我建议阅读各种OWASP备忘单/资源以获取更多信息。 - kwah