php – 什么时候不应该使用mysql_real_escape_string

前端之家收集整理的这篇文章主要介绍了php – 什么时候不应该使用mysql_real_escape_string前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我看到了这个评论…. http://www.php.net/manual/en/function.mysql-real-escape-string.php#93005

并开始想知道为什么这会是一个坏主意.

由于以下几个原因,这是一个坏主意:

>首先,它假定您的输入
永远都会进入
数据库并单独进入数据库.
如果要使用什么怎么办?
在HTML输出?或者在电子邮件中?要么
写入文件?或许多其他
事情..你的过滤应该永远
是上下文敏感的.
>更重要的是,它鼓励
马虎的使用GET,POST等因为
没有迹象表明他们已经
被过滤了.如果有人看到你
使用

echo $_POST [‘name’];

页面上,他们怎么会知道它被过滤了?或者甚至更糟……是的你确定它已经?那个怎么样其他应用?你知道,那是你刚刚交了?新开发者会做什么?他们甚至会知道过滤很重要吗?

猜你在找的PHP相关文章