如果我删除所有的特殊字符，Sql注入的可能性？

Question

如果我删除字符串中的所有特殊字符，那么是否存在sql注入的可能性？？(我的输入中不需要任何特殊字符)

我正在使用以下代码删除所有特殊字符

    $unsafe = $_GET["tag"];
$safe = preg_replace('/[^a-zA-Z0-9 ]/s', '', $unsafe);
$safe = mysql_real_escape_string($safe);

还有sql注入的机会吗？？

Answer 1

如果你使用mysql_real_escape_string，那么就没有理由删除“不安全的字符”，因为它会使它们都变得安全。

但是，不推荐使用mysql_*函数，因为它们很难正确使用。PHP开发人员现在建议使用PDO或mysqli_* functions。有关如何在PDO或mysqli中使用参数化查询的信息，请参阅this answer。