可能的重复:
在 mysql_real_escape_string 之后使用 stripslashes https://stackoverflow.com/questions/11295141/using-stripslashes-after-mysql-real-escape-string
我最近一直在阅读有关预防 SQL 注入的内容,我正在尝试对不同函数之间建立一些理解,以便我可以学习基础知识。
我读过关于mysql_real_escape_string
我知道它基本上是转义它认为“特殊”的字符,这样它就不会与 SQL 语法混淆?
现在,假设这至少在某种程度上是正确的 - 是否需要使用stripslashes
函数结合mysql_real_escape_string
?我想知道什么stripslashes
是什么以及它的用途是什么。
如果你使用stripslashes
使用后立即输入mysql_real_escape_string
,您将有效地撤消它。可能还有其他使用原因stripslashes
,但就我而言,我只需要它来消除魔术引语的恐怖。它实际上是相反的addslashes
.
addslashes
does 不必要转义输入相同mysql_real_escape_string
确实如此,并且它们不能用于相同的目的。
甚至比mysql_*
,您应该阅读有关使用准备好的语句的内容,例如PDO https://www.php.net/manual/en/class.pdo.php。那么你甚至不必担心mysql_*
or stripslashes
(魔术引号除外)。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)