※ 引述《ahoo122002 (承让)》之铭言：
: 请问mysql_real_escape_string?
: 有大约google了一下sql injection
: 之后想说这样写ok吗？
: 1.
: function test($value){
: return mysql_real_escape_string($value);
: }
: $name = test($_POST["name"]);
: $password = test($_POST["password"]);
escape sql 是在有 SQL 的地方才应该做的事情
没有SQL 的时候 escape ...没什么 OK 不 OK 可言...
: 2.
: <?php
: function mysql_escape_mimic($inp) {
: // blah blah
: return $inp;
: }
: $name = mysql_escape_mimic($_POST["name"]);
: $password = mysql_escape_mimic($_POST["password"]);
不要写自己的 escape function，要用别人写好的
这世界比你以为的险恶太多...
你写的方法看起来跟 addslashes() 满类似的
那么就有可能被人用塞入奇怪的多 byte 字符攻破
操作方法像是这篇
http://www.securityidiots.com
/Web-Pentest/SQL-Injection/addslashes-bypass-sql-injection.html
: 有高手可以提供其他好的写法吗？
: 先不谈PDO,ORM <

是否只有文字输入的部份，要防sql injection

所有外来的东西 (不论是不是输入框) 都要防

是阿，是否只有参数要防injection? 参数和SQL stmt一定要在一起escape才算数吗？SQL stmt又不会有外来的

针对第1个写法，想说大家都知道，所以省略sql，才只贴部份程式码，来问大家。