Я просто хочу его подтвердить, потому что mysql внесут некоторые изменения в комментарий, например, HTML-код, который он добавляет \"
Я знаю, что он защищен, но вы можете мне предложить? Я сначала сохраняю его в базу данных, а затем показываю его в поле комментариев.Безопасно сохранять комментарии пользователей без проверки: mysql_real_escape_string
Я использую:
Или я должен использовать это:
if (isset($_POST['comment-post'])) {
$comment = mysql_real_escape_string($_POST['comment']);
if ($id != "" && strlen(trim(preg_replace('/\xc2\xa0/',' ',$comment))) != 0) {
$add = mysql_query("UPDATE users SET comments='$comment' WHERE id='$id'");
}
}
Пример комментария пользователь может опубликовать это:
Hello how are you?
<img src="http://i840.photobucket.com/albums/zz324/wonderfulworld1/Hearts/rt28h.gif">
Его никогда не было в безопасности, чтобы просто заменить этого персонажа и оставить остальное как есть, его всегда лучшая идея для правильной санировки. Однако понятие интерполяции строк в запросах с использованием расширения 'mysql_ *' само по себе становится устаревшим на минуту, переходить к 'mysqli' или' PDO' и использовать подготовленные операторы. –
Да, его становится все труднее и труднее справляться с MySQL_, спасибо, я постараюсь, чтобы обновить его до mysqli, что не займет много времени для меня. –