將foreach和mysqli_real_escape_string用於許多帖子值
[英]Use foreach and mysqli_real_escape_string for many post value
問題描述
我有一個收集許多數據的頁面,在將sql查詢插入數據庫之前,我需要轉義這些數據。
我在SQL查詢之前寫這個:
foreach($_POST as $k => $v) $_POST[$k] = mysqli_real_escape_string($conn,$v);
我的$ conn是:
$conn = new mysqli('localhost', 'xxx', 'yyy', 'zzz');
仍然可以工作,但是我不確定是否安全。
3 個解決方案
解決方案1
2 已采納 2014-02-22 10:13:50
這是處理POST變量的極其錯誤的方法 。 在很多方面都錯了。
並且肯定是不安全的。
取決於您將在查詢中使用POST數據的方式,此代碼可能會更正,或者根本無法使用和不安全。
正如Barmar所說,您應該使用准備好的語句。 如果您也為插入數據准備了語句,則更好。
解決方案2
0 2014-02-22 10:27:55
這應該是安全的。
$query=$conn->prepare("select * from yourtable where colum= ? and column2 = ? ");
$query->bind_param('ss', $_POST['var1'],$_POST['var2'] );
解決方案3
-2 2014-02-22 10:40:31
嘗試這個
$conn = new mysqli('localhost', 'xxx', 'yyy', 'zzz');
$ARR_DATA = array();
foreach($_POST as $k => $v)
{
$ARR_DATA[$k] = mysqli_real_escape_string($conn,$v); // store your escaped value in $ARR_DATA
}
現在,您可以在任意位置使用$ARR_DATA值,而不是使用$_POST 。
mysqli_real_escape_string使用post工作,但如果通過將值分配給另一個變量來插入值則無法工作
[英]mysqli_real_escape_string working using post but not working on if inserting value by assigning value to another variable
如何在查詢中正確使用mysqli_real_escape_string()函數
[英]how to correctly use mysqli_real_escape_string() Function in a query
PHP和MySQL-使用mysqli_real_escape_string的正確方法
[英]PHP and MySQL - correct way to use mysqli_real_escape_string
如何在$ _GET ['page']中使用mysqli_real_escape_string
[英]how to use mysqli_real_escape_string for $_GET['page']
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何使用mysqli_real_escape_string()?
mysqli_real_escape_string使用post工作,但如果通過將值分配給另一個變量來插入值則無法工作
mysqli_real_escape_string mysqli鏈接?
mySQLI-mysqli_real_escape_string問題
如何在查詢中正確使用mysqli_real_escape_string()函數
PHP和MySQL-使用mysqli_real_escape_string的正確方法
mysqli_real_escape_string使用哪種引號?
如何在$ _GET ['page']中使用mysqli_real_escape_string
mysqli_real_escape_string,我應該使用它嗎?
如何正確使用mysqli_real_escape_string
相關標簽