为什么mysql_real_escape_string不适用于$ _POST？

This code for example won't escape the string of the comment for the database:

   if ($_POST['comment']) {
    $comment = mysql_real_escape_string(htmlentities($_POST['comment_txt']));
    $comment_insert = mysql_query("UPDATE msgs SET msg='$comment' WHERE user='$username'")
    or die;
    }

but this one will:

 if ($_POST['comment']) {
    $comment_p = $_POST['comment_txt'];
    $comment = mysql_real_escape_string(htmlentities($comment_p));
    $comment_insert = mysql_query("UPDATE msgs SET msg='$comment' WHERE user='$username'")
    or die;
    }

Why? Why can't I just escape the $_POST value? Why do I have to define new $variable for $_POST to escape it? This is security vise. I will move to PDO at some point, but at the moment I'm stuck with old mysql API.

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

2条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dpv50040 2016-05-02 07:06
关注
That's just wrong. You don't have to put the value in the $_POST array into a variable before, it works directly on the $_POST value, too

Consider using mysqli or PDO instead of mysql though.

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

php mysql_real_escape_string转换为mysqli [复制] html mysql php
2016-08-30 17:57

回答 3 已采纳 I think you want this <?php $con=mysqli_connect("localhost","my_user","my_password","my_db");
mysql_real_escape_string不适用于后PHP mysql php
2012-07-01 16:22

回答 1 已采纳 Are you assigning the result of mysql_real_escape_string() to anything? It doesn't modify the vari
mysql_real_escape_string和array_map返回空字符串？ mysql php
2013-09-05 00:05

回答 3 已采纳 array_map returns new array, if you're overwriting $_POST, better solution would be to use array_w
mysql_real_escape_string 不支持_mysql_real_escape_string()无效，即使我已连接到数据库
2021-01-21 13:23

数码客栈的博客但是，在远程服务器上，我无法使mysql_real_escape_string()正常工作。数据库连接正在工作，并在调用该函数之前连接。当我尝试echo $_POST['email'];时，我获得了正确的数据，但是当我尝试echo mysql_real_escap...
使用mysql_real_escape_string后，在textarea中显示多行 html mysql php
2012-11-30 13:00

回答 3 已采纳 you probably have magic_quotes turned on, check it with echo get_magic_quotes_gpc() or else you w
警告：mysql_real_escape_string（），是什么意思？ [关闭] database html mysql php
2014-09-03 16:28

回答 1 已采纳 Need to connect before real_escape. I suggest you to use mysqli. You can try this. $connect = mys
使用mysql_real_escape_string编码错误，返回空字符串 mysql php
2013-06-13 12:28

回答 1 已采纳 mysql_real_escape_string considers the current connection character set. Your ISO-8859-1 scripts s
mysql_real_escape_string()_PHP mysql_real_escape_string() 函数
2021-01-28 00:11

hore12的博客例子例子 1$con = mysql_connect("localhost", "hello", "321");if (!$con){die('Could not connect: ' . mysql_error());}// 获得用户名和密码的代码// 转义用户名和密码，以便在 SQL 中使用$user = mysql_real_...
PHP在表名中从mysql_real_escape_string更改为PDO [duplicate] mysql php sql
2014-01-24 13:15

回答 1 已采纳 You won't be able to escape the table name (I hope that $tablename isn't coming from an outside so
mysql_real_escape_string（）出错 php
2013-08-02 12:59

回答 1 已采纳 According to the documentation: If the link identifier is not specified, the last link opened
使用mysql_real_escape_string的速度 mysql php
2014-04-03 21:28

回答 2 已采纳 The mysql_real_escape_string() already searches the string for apostrophes and other characters, a
mysql mysql_real_escape_string()_mysql_real_escape_string（）函数的作用
2021-02-03 01:50

weixin_39878646的博客相关函数:get_magic_quotes_gpc()在PHP5.4中已被丢弃mysql_real_escape_string()说明这个函数在PHP5.5中不建议使用,在将来的版本中将会被丢弃,建议使用:mysql_real_escape_string()函数的作用：防止SQL Injection...
mysql_real_escape_string和json json mysql php
2012-07-30 12:11

回答 3 已采纳 You shouldn't use already prepared JSON string. You should use json_encode(); function to create
mysql_real_escape_string 报错,使用mysql_real_escape_string（）时出错
2021-01-19 23:40

邦成为寄卖连锁的博客 my code-require 'database....$title = mysql_real_escape_string($_POST['title']); //line 48$cat = $_POST['cat'];$txtart = mysql_real_escape_string($_POST['artbody']); //line 50$date = date("d-m-y");...
mysql_real_escape_string pdo_php – 如何在PDO中使用/编写mysql_real_escape_string？
2021-02-07 23:43

胡椒肥牛饭的博客 real escape string and PDO3个在我的代码中我试图将mysql_real_escape_string转换为PDO语句.有人有关于如何在PDO中编写mysql_real_escape_string的提示吗？我在两行中使用mysql_real_escape_string：$userNa...
没有解决我的问题, 去提问

悬赏问题

¥15 HLs设计手写数字识别程序编译通不过
¥15 Stata外部命令安装问题求帮助！
¥15 从键盘随机输入A-H中的一串字符串，用七段数码管方法进行绘制。提交代码及运行截图。
¥15 TYPCE母转母，插入认方向
¥15 如何用python向钉钉机器人发送可以放大的图片？
¥15 matlab（相关搜索：紧聚焦）
¥15 基于51单片机的厨房煤气泄露检测报警系统设计
¥15 Arduino无法同时连接多个hx711模块，如何解决？
¥50 需求一个up主付费课程
¥20 模型在y分布之外的数据上预测能力不好如何解决

为什么mysql_real_escape_string不适用于$ _POST？

2条回答 默认 最新

悬赏问题

2条回答默认最新