我看到了这个评论….
http://www.php.net/manual/en/function.mysql-real-escape-string.php#93005
并开始想知道为什么这会是一个坏主意.
由于以下几个原因,这是一个坏主意:
>首先,它假定您的输入
永远都会进入
数据库并单独进入数据库.
如果要使用什么怎么办?
在HTML输出?或者在电子邮件中?要么
写入文件?或许多其他
事情..你的过滤应该永远
是上下文敏感的.
>更重要的是,它鼓励
马虎的使用GET,POST等因为
没有迹象表明他们已经
被过滤了.如果有人看到你
使用
echo $_POST [‘name’];
在页面上,他们怎么会知道它被过滤了?或者甚至更糟……是的你确定它已经?那个怎么样其他应用?你知道,那是你刚刚交了?新开发者会做什么?他们甚至会知道过滤很重要吗?
原文地址:https://www.jb51.cc/php/133047.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
