<分区>
我在接手别人的PHP项目,看代码的时候,发现了很多这样的:
$query = "INSERT INTO `".$_POST["tablename"]."` SET `cust_id`='".$_POST["cust_id"]."' , `cust_email`='".$_POST["cust_email"]."' ,`".$_POST["field"]."`='".mysql_real_escape_string($_POST["value"])."'";
mysql_query($select);
现在,据我所知,使用 mysql_ 函数不是一件好事,出于安全考虑,并且由于它们已被弃用...所以我想这些都必须更改为 mysqli_ 或 PDO? 但是 $_POST["things"] 呢?他只转义了一个 POST 变量,为什么不转义其他变量?
编辑:将此帖子标记为重复后:我知道这是一个常见问题,之前有人问过。正是因为这是常识,所以我特地问这个。也许我遗漏了什么......