Im simply passing user data into an SQL database and collecting the data for admin view only, i am usin mysql_real_escape_string() to escape the data, I was told today that htmlentities is better to use, i have always heard the opposite. could do go a little more in depth on this with me. Also as a sid enote, if someone could provide a really good tutorial for PDO that would be wonderful
我应该使用htmlentities还是mysql_real_escape_string [关闭]
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
2条回答 默认 最新
- dongzhuanlei0768 2013-01-12 18:45关注
The two do entirely different things. One escapes data for putting into a SQL statement (which is a bad in general: see http://bobby-tables.com) and the other escapes data for putting into an HTML document. You're basically asking "Should I use a spoon or a fork?"
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报 分享
- 2013-01-12 18:40回答 2 已采纳 The two do entirely different things. One escapes data for putting into a SQL statement (which is
- 2012-09-07 18:34回答 1 已采纳 Instead of using if( $this->real_escape_string ) { // PHP v4.3.0 or higher check php version
- 2013-04-12 11:48回答 2 已采纳 Still trying to understand what you mean by "sending the $_SESSION", but this statement looks weir
- 2021-02-10 02:00lvero王的博客 例如,O'Reilly在传送给MySQL数据库前需要转义成O\'Reilly。单引号前的反斜杠代表单引号是数据本身的一部分,而不是并不是它的本义。我所指的输出转义具体分为三步:l 识别输出l 输出转义l 区分已转义与未转义数据只...
- 2015-01-24 16:35回答 1 已采纳 This part of your script '%search_term%' is missing the $ change that to '%$search_term%' and r
- 2010-10-13 14:26回答 1 已采纳 Given that error message, the $db_query you're passing in to the tep_db_fetch_array() is obviously
- 2015-10-08 15:48回答 3 已采纳 Change echo 'Error creating user: ' . $link->connect_error . " "; to echo 'Error creating u
- 2021-02-10 02:00意博思诺教育的博客 MySQL的对于我的实验目的,我已经在我自己的网站上尝试了少量的XSS注射。...如果我仅应用strip_tags和mysql_real_escape_string,并且在将数据插入到数据库之前,不要在我的输入上使用htmlentities,所以查...
- 2012-06-19 08:32回答 3 已采纳 From manual mysql_close Using mysql_close() isn't usually necessary, as non-persistent open li
- 2014-11-18 13:55回答 1 已采纳 Try looking at the example supplied by PHP.net: <?php $mysqli = new mysqli("localhost", "my_us
- 2015-05-25 03:51回答 1 已采纳 You need to add a condition to your query, ie. WHERE characters.character_owner = users.user_id
- 2021-02-10 02:00程序员必修课的博客 平台: PHP和mySQL出于实验目的,我在自己的网站上尝试了很...如果仅在将数据插入数据库之前才应用strip_tags和mysql_real_escape_string并且不对输入使用htmlentities,则查询将中断 ,由于异常终止,我会遇到一个...
- 2011-02-05 18:05回答 4 已采纳 Use AND instead of && And use sprintf to protect your variables: sprintf("SELECT * F
- 2011-09-08 10:42manbujingxin的博客 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 下列字符受影响: \x00\n\r\'"\x1a 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。 ____________
- weixin_39788960的博客 过滤的延深 就是转义,有些数据... $mysql['username'] = mysql_real_escape_string($clean['username']); $sql = "SELECT * FROM profile WHERE username = '{$mysql['username']}'"; $result = mysql_query($sql); ?>
- 2021-02-07 08:30weixin_39863017的博客 这比使用转义功能(例如)更加安全mysql_real_escape_string。是的,mysql_real_escape_string实际上只是一个字符串转义功能。这不是魔术子弹。它所要做的就是逃避危险字符,以便可以安全地在单个查询字符串中使用它们...
- 2021-04-23 16:26findtea的博客 我有用户输入并使用htmlentities()来转换所有实体.但是,似乎有一些错误.当我输入ääää öööö üüüü ääää我明白了ääää öööö üüüü ääää看起来像这样Ã...
- 2021-02-07 15:33胡匪的博客 从 PHP5.5.0 开始已经不推荐使用 mysql_real_escape_string() 了,所有新的应用应该使用 MySQLi 和 PDO_MySQL 扩展提供的方法:mysqli_real_escape_string() 或者 PDO::quote() 函数库执行数据库操作,以防止...
- 2016-11-22 23:36weixin_30510153的博客 包括(‘), (“), (), (NUL)四个字符,此函数在DBMS没有自己的转义函数时候使用,但是如果DBMS有自己的转义函数,那么推荐使用原装函数,比如MySQL有mysql_real_escape_string()函数用来转义SQL。 注意在PHP5.3之前,...
- 2021-04-24 21:19weixin_39619170的博客 mysql_real_escape_string($theValue) : mysql_escape_string($theValue); switch ($theType) { case "text": $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; break; case "long": case "int": ...
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 mmocr的训练错误,结果全为0
- ¥15 python的qt5界面
- ¥15 无线电能传输系统MATLAB仿真问题
- ¥50 如何用脚本实现输入法的热键设置
- ¥20 我想使用一些网络协议或者部分协议也行,主要想实现类似于traceroute的一定步长内的路由拓扑功能
- ¥30 深度学习,前后端连接
- ¥15 孟德尔随机化结果不一致
- ¥15 apm2.8飞控罗盘bad health,加速度计校准失败
- ¥15 求解O-S方程的特征值问题给出边界层布拉休斯平行流的中性曲线
- ¥15 谁有desed数据集呀