使用 mysql_real_escape_string() 进行用户输入是否安全
Is it safe to use mysql_real_escape_string() for user inputs
最近我在PHP上开发小问题生成程序。它使用一些 LaTeX 格式的数学公式。
我在插入 LaTeX 公式时遇到问题,因为没有向 MySQL 数据库插入反斜杠。
我在这里描述了这个问题:
我找到了使用 mysql_real_escape_string() 的解决方案。但这又引发了另一个问题。
如果现在可以插入反斜杠,我的程序是否容易受到 sql 注入或用户可能进行的任何其他棘手输入的攻击?
这个函数通常是专门为清理用户输入而设计的,应该始终使用,根据文档:
http://php.net/manual/en/function.mysql-real-escape-string.php
最近我在PHP上开发小问题生成程序。它使用一些 LaTeX 格式的数学公式。
我在插入 LaTeX 公式时遇到问题,因为没有向 MySQL 数据库插入反斜杠。
我在这里描述了这个问题:
我找到了使用 mysql_real_escape_string() 的解决方案。但这又引发了另一个问题。
如果现在可以插入反斜杠,我的程序是否容易受到 sql 注入或用户可能进行的任何其他棘手输入的攻击?
这个函数通常是专门为清理用户输入而设计的,应该始终使用,根据文档: http://php.net/manual/en/function.mysql-real-escape-string.php