This question already has answers here:
How can I prevent SQL injection in PHP?
(28个答案)
4年前关闭。
有人告诉我,抓取帖子然后将其传递给查询以便可以存储它的方式是非常不安全和不安全的,我想知道加强该帖子的方法。我对此很欣赏,所以请多多包涵。
(28个答案)
4年前关闭。
有人告诉我,抓取帖子然后将其传递给查询以便可以存储它的方式是非常不安全和不安全的,我想知道加强该帖子的方法。我对此很欣赏,所以请多多包涵。
$course_price_final = $_POST['priceFinal'];
$course_provider = $_POST['courseProvider'];
$user_email = $_POST['userEmail'];
$crs_title = $_POST['courseTitle'];
$course_date1 = $_POST['courseDate'];
$course_token = $_POST['courseToken'];
$card_name = $_POST['cardName'];
$course_delivery = $_POST['courseDelivery'];
$order_date = date("Y-m-d");
$insert_c = "insert into orders (course_title,course_price_final,course_provider,user_email,course_date,course_delivery,order_date,course_token)
values ('$crs_title','$course_price_final','$course_provider','$user_email','$course_date1','$course_delivery','$order_date','$course_token')";
$run_c = mysqli_query($con, $insert_c);
最佳答案
最简单的事情-在每个帖子上使用mysqli::real_escape_string($_POST['whatever'])。
最好的事情-使用prepared statements。
http://php.net/manual/en/mysqli.quickstart.prepared-statements.php