我有以下代码通过 PHP 向我的 MySQL 数据库添加一条记录: 联系人只是一个普通字符串。
$contact = mysql_real_escape_string(stripslashes($_POST["contact"]), $con);
$sql="INSERT INTO custom_downloads (contact) VALUES ('$contact')";
这足以防止任何类型的 SQL 注入(inject)攻击吗?我还能做些什么来清理数据?
最佳答案
是的,mysql_real_escape_string 将正确地转义字符串,因此这对于 SQL 注入(inject)是安全的。
关于php - 这行 PHP 是否足以防止 MySQL 注入(inject)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3361097/