433
社区成员
发帖
与我相关
我的任务
分享php – 这种查询方法的安全性如何
如果我们不能使用PDO或mysqli(出于任何原因),这种方法对于INSERT和SELECT是否安全?
<?php
if (!empty($_POST[id]) && !empty($_POST[name])) {
require_once ( 'config.php' );
// SAFE INTVAL ID
$id = intval($_POST[id]);
$connect = mysql_connect("$server", "$user", "$password")
OR die(mysql_error());
mysql_select_db("$database", $connect);
// ESCAPING NAME
$name = mysql_real_escape_string($_POST[name]);
$query = "INSERT INTO table (id, name) VALUES ('$id', '$name')";
$result = mysql_query($query, $connect);
if (!$result) { echo 'success'; } else { echo 'fail'; }
}
?>
因为我多次读过永远不会使用mysql_query,即使我们小心并且及时逃脱也危险吗?
...全文
请发表友善的回复…
发表回复
weixin_38098679 2019-09-12
- 打赏
- 举报
据我所知,您的查询非常好.你正在逃避SQL
mysql_real_escape_string($_POST[name])
这为您的代码增加了额外的安全性.唯一的建议是使用:
$_POST['name']
代替
$_POST[name]
因为它会生成PHP警告.
谢谢.
