我这样做对吗?这是否有助于避免 sql 注入(inject)?
$deleteid = htmlspecialchars(strip_tags(mysql_real_escape_string($_POST['listid'])));
mysql_send("DELETE FROM stage where listid='$deleteid'");
最佳答案
没有。
你应该只调用 mysql_real_escape_string
。
htmlspecialchars
和strip_tags
函数用于对要显示为 HTML 的字符串进行编码。
它们不应该与 SQL 一起使用
关于php - 我是在从 sql 注入(inject)中拯救自己吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3601963/