을 깰 :게시 PHP로 형식 문자열 -는 mysql_real_escape_string 원인() 나는 이런 식으로 뭔가 보이는 숨겨진 필드 형태가
<form id="myform" method="post" action="/myphp.php">
<div>
<label for="name">Name</label>
<input type="text" id="name" name="name" />
</div>
<div>
<input type="hidden" id="id" name="title" value="Bob's Group (test)" />
</div>
<div>
<input type="submit" value="Sign up" class="send_button" />
</div>
</form>
숨겨진 값 '제목'의에게 농 CMS의 PHP에서 값을 얻을 인라인 스크립트이고이 경우에는 "Bob 's Group (test)"입니다. 이 양식을 처리 할 수
PHP 스크립트는 다음과 같습니다
<?php
// Get and check input
$title = check_input($_POST['title']);
echo "title: $title<br>";
$name = check_input($_POST['name']);
$title = mysql_real_escape_string($title);
// Some sql queries that use $title
?>
출력은 다음과 같습니다
제목 : 밥의 그룹 (테스트) 제목 : 즉
, mysql_real_escape_string은 제목을 빈 문자열로 만든다.
이 양식 값을 처리하고 사용할 안전한 SQL 문자열을 생성하는 방법이 있습니까?
준비된 문을 사용하고 새 코드에 mysql_ *을 사용하지 마십시오. mysqli_ * 또는 PDO가 지금 취할 수있는 방법이다. – knittl