这是我目前使用的函数(来 self 买的一本 php 书):
function escape($data) {
return mysql_real_escape_string(trim($data), $this->linkid);
}
但我觉得它可能更安全。例如,也许使用 htmlspecialchars。 它总是让我偏执。我读过 mysql_real_escape_string 很糟糕并且从不使用它,但后来我也读到它是最好的方法。将数据插入数据库时对数据清理有很多困惑。
那么你是怎么做到的呢?你这样做的利弊是什么。
最佳答案
你说的是两种不同类型的转义。
mysql_real_escape_string() 转义数据,以便安全地发送到 MySQL。
htmlspecialchars() 转义数据,因此可以安全地发送到呈现 HTML 的内容。
两者都可以很好地满足各自的目的,但是 parameterized queries via something like mysqli比较整洁。
关于php - 您如何清理数据?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1106410/