請問mysql_real_escape_string?
有大約google了一下sql injection
之後想說這樣寫ok嗎？
1.
<?php
function test($value){
return mysql_real_escape_string($value);
}
$name = test($_POST["name"]);
$password = test($_POST["password"]);
?>
2.
<?php
function mysql_escape_mimic($inp) {
if(is_array($inp))
return array_map(__METHOD__, $inp);
if(!empty($inp) && is_string($inp)) {
return str_replace(array('\\', "\0", "\n", "\r", "'", '"', "\x1a"),
array('\\\\', '\\0', '\\n', '\\r', "\\'", '\\"', '\\Z'), $inp);
}
return $inp;
}
$name = mysql_escape_mimic($_POST["name"]);
$password = mysql_escape_mimic($_POST["password"]);
?>
有高手可以提供其他好的寫法嗎？
先不談PDO,ORM <

1就可以了(下略500字)

你可以不談pdo，但以後都是pdo的天下另外mysql_real_escape_string已經被php team放生了php5.4之後的版本就不建議使用，php7直接移除

建議看一下 PDO

請用pdo

以後是必須用pdo 大大還是轉換吧