sql注入保护

Question

可能重复： 防止PHP中SQL注入的最佳方法

这些代码是否对sql注入有足够的保护？

if(isset($_POST['Submit']))
{
$user = mysql_real_escape_string($_POST["user"]);
$pass = mysql_real_escape_string($_POST["pass"]);
$confirm_key=md5(uniqid(rand()));

$query = mysql_query("INSERT INTO members 
(user, pass, mail, confirm_key, country, city, www, credo)
VALUES  ('$user','$pass','$_POST[mail]','$confirm_key','$_POST[country]','$_POST[city]','$_POST[www]','$_POST[credo]')")
or die ("Error during INSERT INTO members:    " . mysql_error());
exit();
}

这是正确的方式，必须是每个投入(如国家，城市.)受到保护吗？

Answer 1

不对新应用程序使用 mysql_query。您应该使用mysqli或PDO来使用占位符进行转义。您可以使用许多例子。

通常，您的SQL应该如下所示：

INSERT INTO `table` (column) VALUES (?)

不应该让看起来像：

INSERT INTO `table` (column) VALUES('$dangerous_user_content')

如果正确使用占位符，几乎不可能创建SQL注入孔。

Answer 2

http://php.net/manual/en/function.mysql-real-escape-string.php

连php文档都说不要使用mysql_real_escape_string