我正在使用 mySqli,我正在尝试在追加/更新数据库之前开发最终的清理功能。
我想知道这个 super 简单的函数是否可以为我完成这项工作。
function sanitize($me) { return mysql_real_escape_string($me); }是否像日期和时间这样的内部 PHP 命令(例如
sanitize(date("F j, Y, g:i a")));也应该被清理?
最佳答案
if that super simple function can do the job for me.
没有。仅仅因为底层功能与清理完全无关,即使是从适当的扩展。
Is internal PHP command output should also be sanitized ?
是的。因为你的数据库相关逻辑应该不知道数据源。它应该知道该数据正在查询中,因此必须正确格式化。
准备好的语句是达到目标的唯一途径。所以,你得去掉这个函数,开始学习prepared statements
关于php - 使用 mySqli 清理数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22936882/