У меня есть таблица, в которой перечислены фильмы, и я включил простую функцию поиска. У меня есть одно текстовое поле в форме, где можно ввести заголовок или ключевое слово, а затем отправить форму.безопасность для простой формы поиска php
PHP код/MySQL, который делает работу является:
$find = $_POST['find'];
$find = mysql_real_escape_string($find);
$find = htmlspecialchars($find);
$sql = "SELECT * FROM tbl_buyerguide WHERE rel_date BETWEEN NOW() AND DATE_ADD(now(), INTERVAL 2 MONTH) AND title LIKE '%".$find."%' ORDER BY title";
где «найти» это имя ввода текста в форме поиска.
Это работает достаточно хорошо для функциональности поиска по назначению.
Мой вопрос все:
ли mysql_real_escape_string и htmlspecialchars достаточно, чтобы сделать мой поиск форм обеспечения?
Я прочитал все вопросы, которые я могу найти в stackoverflow об этом, но мне бы очень хотелось, чтобы кто-то в курсе сказал мне «да, это все, что вам нужно» или «нет, вы также нужно учитывать ... ».
Спасибо заранее. Cheers Al.
Благодаря KyleK, я должен сказать, я никогда не слышал ни, но я самоучка , поэтому мои знания неоднородны, и я был на ней только пару лет. Я буду изучать PDO. Еще раз спасибо – Almeister9