2
$username = $_POST['username'];
$sanitizedUsername = strip_tags(stripcslashes($username));
足以防止malacious SQL注入和其他类型的攻击。如果不是我应该使用什么?
P.S.我想让用户选择包含字母数字,空格和符号字符的用户名和密码(除了像mysql语句中使用的引号或星号之外的字符)。
A
回答
2
当你插入到数据库,使用:
mysql_real_escape_string($_POST['username']);
当你输出到HTML,使用:
htmlspecialchars($_POST['username']);
1
使用string mysql_real_escape_string (string $unescaped_string [, resource $link_identifier ])
2
如果您的环境允许,请始终使用参数化查询以避免SQL注入http://pl.php.net/manual/en/mysqli.prepare.php