对于登录:
$username = mysql_real_escape_string(htmlspecialchars(strip_tags(trim($_POST['username'])), ENT_QUOTES));
$password = mysql_real_escape_string(htmlspecialchars(strip_tags(trim($_POST['password'])), ENT_QUOTES));
将数据插入我重新使用相同的mysql_real_escape_string(htmlspecialchars(strip_tags(trim(...
我觉得这是不好的做法,因为我是使用这么多的功能...这是防止mysql注入的正确方法&防止xss注入?还是完全过度?一切工作正常,没有什么是坏的 - 我的问题确实是,我是否在配对时使用过时的东西?是否只有一个功能可以用来完成这项工作?
谢谢。
切勿将密码进入你的数据库以纯文本...哈希它和盐它...然后你并不需要所有那些花哨的htmlspecialchars和striptags它要么 – 2011-04-29 10:20:41
'mysql_real_escape_string() '这里唯一必要的电话是 – 2011-04-29 10:23:08