我正在使用 mySqli,我正在尝试在追加/更新数据库之前开发最终的清理功能。
我想知道这个超级简单的功能是否可以为我完成这项工作。
function sanitize($me) {
return mysql_real_escape_string($me);
}
内部 PHP 命令是否像日期和时间(例如 sanitize(date("F j, Y, g:i a")); 也应该被清理?
【问题讨论】:
标签: php mysql database function mysqli
如果那个超级简单的功能可以为我完成这项工作。
没有。仅仅因为底层功能与清理完全无关,即使是适当的扩展也是如此。
内部 PHP 命令输出是否也应该被清理?
是的。因为你的 db 相关逻辑应该不知道数据源。它应该知道这些数据正在被查询,因此必须正确格式化。
准备好的陈述是达到目标的唯一途径。所以,你必须摆脱这个功能,开始学习准备好的语句
【讨论】:
无论是用户输入、函数调用的结果还是硬编码数据,都应该进行清理。有一天,您将决定使日期格式动态化,允许用户设置格式字符串,而您会忘记对其进行清理;用户将在格式中添加引号,您的 SQL 将被破坏。
mysql_real_escape_string 不属于mysqli 扩展,使用正确的函数。更好的是,使用 PDO,你不需要函数,只需要参数绑定。
【讨论】: