Этот вопрос развивался в моем сознании, как полностью остановить пользователей от ввода каких-то сумасшедших инъекций SQL. не является mysql_real_escape_string достаточно мощным, чтобы остановить его? Я следил за некоторыми рекомендациями, хотя здесь были некоторые пользователи, которые критиковали мой код и давали мне большие пальцы для безопасности. я не мог понять причину этого. хотя я не использую $ _GET, единственный пользовательский ввод - через систему комментариев. Я просто хочу убедиться, что я не ошибаюсь. вот мой пример кода.Помогите мне остановить пользователя от ввода вредоносных кодов
$name = htmlspecialchars(strip_tags(mysql_real_escape_string($_POST['com_name'])));
Я использовал то же самое для некоторых 5 полей. что вы берете на себя над моим кодом?
Я не хочу, чтобы мой пользователь вводил какие-либо коды html или javascript, это должен быть просто обычный текст по крайней мере для этого проекта. разве вы не думаете, что мой код заботится об этом? –
Ваш общий код должен позволять пользователю вставлять любые (действительные) данные в БД. Если вам нужна дополнительная фильтрация, вы должны сделать это на отдельной фазе проверки, а не при вводе ее в базу данных. – Quamis
@Quamis Я предполагаю, что это то, что я делаю, я сначала фильтрую код, а затем передаю его в базу данных, я никогда не передавал его непосредственно в базу данных. исправьте меня, если я ошибаюсь. –