-2
양식을 통해 삽입되는 데이터를 살균하려면 아래 코드를 사용하고 있습니다.이것이 양식의 입력 정보를 위생 처리하는 올바른 방법입니까?
$name= mysql_real_escape_string($_POST['name']);
그래서이 필드를 양식 (입력)을 사용하여 입력합니다.
<?php echo "Hhaha";?>
그리고 프로필 페이지에서 이름 (출력 없음)이 표시되지 않았지만 정확하게 표시 한 db를 선택했을 때 :
<?php echo "Hhaha";?>
그래서이 작업을 수행하고 있습니까?
DB를 확인한다는 것은 무엇을 의미합니까 ?? – Nickool
의미는 이름이 표시되지 않았기 때문에 데이터베이스를 확인한 후 이름 필드에 양식에 삽입 된 PHP 코드 조각을 정확히 보여줍니다. – KPO
mysql_real_escape_string은 SQL 인젝션을 보호합니다. 이것은'htmlspecialchars'와 결합하여 아마 정보를 위생적으로 만들 수 있습니다. 매우 벙어리가 아니고 의도적으로 보안 오류가 발생하지 않는 한 PHP 코드 삽입은 문제가되지 않습니다. –