使用cast(int)代替转义是否安全?
class opinion
{
function loadbyopinionid($opinionid){
$opinionid=(int)$opinionid;
mysql_query("select * from fe_opinion where opinionid=$opinionid");
//more code
}
}
mysql_real_escape_string 用于STRINGS。它不会使整数“安全”使用。例如
$safe = mysql_real_escape_string($_GET['page']);
不会做任何事情
$_GET['page'] = "0 = 0";
因为那里没有 SQL 元字符。你的查询最终会是这样的
SELECT ... WHERE somefield = 0 = 0
但是,执行 intval() 会将其转换为0=0
变成平原0
.
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)