php - 我是在从 sql 注入(inject)中拯救自己吗?

标签 php mysql sql-injection

我这样做对吗?这是否有助于避免 sql 注入(inject)?

$deleteid = htmlspecialchars(strip_tags(mysql_real_escape_string($_POST['listid'])));

mysql_send("DELETE FROM stage where listid='$deleteid'");

最佳答案

没有。

你应该只调用 mysql_real_escape_string

htmlspecialcharsstrip_tags 函数用于对要显示为 HTML 的字符串进行编码。
它们不应该与 SQL 一起使用

关于php - 我是在从 sql 注入(inject)中拯救自己吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3601963/

上一篇:mysql - 四舍五入的数字有时返回为 '0.999999999992345'

下一篇:mysql - ColdFusion 和从 MySQL 获取数据

相关文章:

php - 从 twitpic url 下载照片

java - 我的 sql jdbc 方法可以免受 sql 注入(inject)攻击吗?

ruby-on-rails - find_by_id sql注入(inject)在rails中安全吗?

php - 使用 dbDelta 函数在 Wordpress 中创建表

php - Joomla JText::_ ("")

php - MySQL多对多分组

PHP-获取与 api 一起使用的单元格的值

mysql - 修复损坏的表时出现错误 "is not BASE TABLE"

PHP 魔术引号问题

php - 从复选框设置 cookie 以跳过登陆页面

©2024 IT工具网  联系我们