防止SQL注入。

可能重复：
防止PHP中的SQL注入的最佳方法
PHP中的mysqli类是否可以保护100％免于sql注入？

所以我一直在阅读有关针对SQL注入的安全性，而PDO似乎是对付我已决定从MYSQL_移动到MYSQLI_的任何此类攻击的最安全方法。

所以转换后，我决定了它的时间，我开始让我的网站足够安全。

所以对于我已经开始使用mysqli_real_escape_string的例子。 下面的代码是否足够安全？还是我可以进一步构建它？ 我是否需要将它添加到我的SELECT语句，或者只是我的INSERT语句？

$sql_follows="SELECT * FROM friends WHERE user1_id=".mysqli_real_escape_string($mysqli,$user1_id)." OR user2_id=".mysqli_real_escape_string($mysqli,$user2_id);
$query_follows=mysqli_query($mysqli,$sql_follows) or die("Error finding friendships");

链接地址: http://www.djcxy.com/p/93671.html

上一篇: Preventing SQL injections.

下一篇: I have an array of integers, how do I use each one in a mysql query (in php)?