本板首PO 觸板規煩請告知
請問是否用 ctype_alnum() 來確定參數是否被填入一些特殊符號
就可以對 Injection 高枕無憂了呢?
因為不太確定是否能把話說死 所以才來請益各位大大的看法
謝謝

Google mysql_real_escape_string()Or use PDO with bindParam()and bindValue()

雖然現在 mysql 廢了，不過第一行那並不會沒辦法防上面指的是 mysql_xxxx 0.0它廢掉不是它本身有漏洞，是它需要手工，而非常多人不知道該如何用，用在那，用錯或沒用

前後加個引號其實算防得到，當然好孩子得記得傳第二個參數mysql_ 很容易做錯，但很～小心的話是能做對的