这是使用 mysql_real_escape_string 的正确方法吗?我正在使用 $GET 但一位 friend 告诉我使用 real_escape_string 使其更安全:
$id = intval($_GET['id']);
$result = mysql_query("SELECT *
FROM products
WHERE id = $id") or die("err0r");
if(!$result) mysql_real_escape_string($id); {
最佳答案
不,您通常使用 mysql_real_escape_string 来准备用于查询的变量,但在您的情况下:
- 您已经使用了
intval; - 你用错地方了。
您的示例中不需要它。
关于php - 我使用 mysql_real_escape_string 对吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5985717/