这样就够了吗?安全的php变量插入到数据库之前
function cleanVar($str1){
if(get_magic_quotes_gpc() == 0){
$str1 = addslashes(htmlspecialchars($str1));
}
$str1 = stripslashes($str1);
$str1 = htmlspecialchars($str1);
$str1 = strip_tags($str1);
$str1 = mysql_real_escape_string($str1);
$str1 = str_replace("script","",$str1);
$str1= str_replace("body","",$str1);
$str1 = str_replace("select","",$str1);
$str1= str_replace("insert","",$str1);
$str1= str_replace("update","",$str1);
$str1 = str_replace("on","",$str1);
$str1= str_replace("<","&l",$str1);
$str1 = str_replace(">","&",$str1);
$str1 = trim($str1);
return $str1;
}
这是*方式*太多。请参阅[最终清除/安全功能](http://stackoverflow.com/q/4223980) – 2012-02-05 16:08:07
'mysql_real_escape_string'就足够了。 – Gumbo 2012-02-05 16:08:21
@Gumbo和谁高举他 - 这是虚假陈述。说到消毒,应该是逃避**和引用** – 2012-02-05 16:09:15