Я только что узнал о важности mysql_real_escape_string
, чтобы избежать инъекций MySQL. Поэтому я использовал это в своей регистрационной форме на php. Это то, что я получил,mysql_real_escape_string в php, где его использовать?
$password_string = mysql_real_escape_string($_POST['PASSWORD']);
$username = mysql_real_escape_string($_POST['USERNAME']);
$fname = mysql_real_escape_string($_POST['FNAME']);
$mname = mysql_real_escape_string($_POST['MNAME']);
$lname = mysql_real_escape_string($_POST['LNAME']);
Вопрос: Есть ли я также необходимо использовать mysql_real_escape_string
на формах, которые только проверяет записи в базе данных? или это полезно только в том случае, если вы вставляете данные в базу данных? Я спросил об этом, потому что у меня также есть форма проверки, в которой пользователи будут вводить данные, чтобы увидеть, существуют ли эти записи в базе данных. Мне все еще нужен mysql_real_escape_string
для обеспечения безопасности?
Спасибо!
использовать его, когда вы берете входные данные от пользователя, не доверяете пользовательским входам – sandeepKumar
прежде всего прекратите использование 'mysql_ *', это официально устаревшая библиотека. Используйте 'mysqli_ *' или 'PDO'. и в отношении вашего вопроса используйте его, когда вы получили пользовательский ввод. –
Подготовленные утверждения гораздо более безопасны и обновлены, чем mysql_ * ... – Julo0sS