是mysql
这个问题在这里已经有了答案:
如果正确使用mysql_real_escape_string是安全的(即,将PHP变量插入到查询中的任何位置),但正如在注释中指出的,它不是您唯一需要担心的事情。 例如,可以将HTML标记插入数据库并用于跨站点脚本攻击。
您可能还想考虑准备好的语句作为mysql_real_escape_string的替代方法,因为它们会自动为您跳过输入,因此不会意外忘记跳过参数。
链接地址: http://www.djcxy.com/p/93445.html上一篇: Is mysql
下一篇: How can mysqli