Я знаю, что должен использовать подготовленный оператор, но мой следующий проект будет использовать подготовленный оператор, мне просто нужно закончить это простое небольшое приложение.Этот код php безопасен?
Так что мой вопрос:
Это следующий фрагмент кода безопасности?
Я использовал htmlentities, а также mysql_real_escape_string, потому что я думал, что это безопасный вариант.
//Image
$imageInput = $_POST['Image'];
$imageClean = htmlentities($imageInput, ENT_QUOTES, 'UTF-8');
//Inserts values into relevant field and creates a new row.
mysql_query("UPDATE ***** SET image='" . mysql_real_escape_string($imageClean) . "' WHERE id=" . mysql_real_escape_string($idClean) . "");
добавить код для $ idClean является:
//Id to change
if(ctype_digit($_POST['testimonial']))
{
$idInput = $_POST['testmonial'];
$idClean = htmlentities($idInput, ENT_QUTOES, 'UTF-8');
}
Спасибо за вашу помощь.
p.s Если бы вы могли предложить что-то добавить, это было бы здорово.
думать, что происходит, когда $ idclean = "1 ИЛИ 1 = 1" – Piskvor
& Piskvor следует использовать if (cytpe_digit) для $ idClean? –
@Oliver Bayes-Shelton: Предполагая, что 'id' является целым числом, я бы пошел (int) $ idClean – Piskvor