※ 引述《ahoo122002 (承让)》之铭言:
: 请问mysql_real_escape_string?
: 有大约google了一下sql injection
: 之后想说这样写ok吗?
: 1.
: function test($value){
: return mysql_real_escape_string($value);
: }
: $name = test($_POST["name"]);
: $password = test($_POST["password"]);
escape sql 是在有 SQL 的地方才应该做的事情
没有SQL 的时候 escape ...没什么 OK 不 OK 可言...
: 2.
: <?php
: function mysql_escape_mimic($inp) {
: // blah blah
: return $inp;
: }
: $name = mysql_escape_mimic($_POST["name"]);
: $password = mysql_escape_mimic($_POST["password"]);
不要写自己的 escape function,要用别人写好的
这世界比你以为的险恶太多...
你写的方法看起来跟 addslashes() 满类似的
那么就有可能被人用塞入奇怪的多 byte 字符攻破
操作方法像是这篇
http://www.securityidiots.com
/Web-Pentest/SQL-Injection/addslashes-bypass-sql-injection.html
: 有高手可以提供其他好的写法吗?
: 先不谈PDO,ORM <