这是一个创建于 2269 天前的主题,其中的信息可能已经有所发展或是发生改变。
大佬们,关于 php 的防 sql 注入请教个问题
我在用户注册的时候用 mysqli_real_escape_string();过滤了一遍然后写入数据库,然后要读取的时候直接获取不再进行过滤,这么写安全吗
我在用户注册的时候用 mysqli_real_escape_string();过滤了一遍然后写入数据库,然后要读取的时候直接获取不再进行过滤,这么写安全吗
 | 1 xiaoz 2019-07-30 19:17:35 +08:00 via Android  1 看读取的时候参数是前端传递还是后端固定的,前端传的话还是再过滤一次吧。 |
 | 2 Hanmo5888 OP @xiaoz 什么意思呢,我读取的时候就直接 mysqli_query + mysqli_fetch_array 然后直接 echo,这样会有问题吗 |
| 4 Hanmo5888 OP @xiaoz 那如果是前端用 POST 传过来的能不能直接$_POST=mysqli_real_escape_string($c,$_POST); |
 | 5 jfcherng 2019-08-01 00:40:00 +08:00 前端想什是你能控制的? |
 | 6 hongzx 2019-08-06 11:16:36 +08:00 建议使用 mysql 预处理,就可以避免 |
Select Language