我试图用以下方法防止sql注入(inject)
mysql_real_escape_string($value)
这是我的代码,但似乎我得到了一个空值,
$this->name_safe = mysqli_real_escape_string($this->name,$this->link);
$this->query = "INSERT INTO student (complete_name, date_birth, gender, email, student_status)
VALUES ( '$this->name_safe', '$this->date', '$this->gender', '$this->email_1', 'current')";
? 谢谢
最佳答案
您的函数参数顺序错误。 DB 链接首先出现,然后是要转义的字符串。
http://php.net/mysqli_real_escape_string
mysqli_real_escape_string($this->link, $this->name)
关于php - mysql_real_escape_string($value) 不起作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5399884/