我只是想知道,以下是完全安全还是有人能够使用十六进制字符等来解决它:
$name = mysql_real_escape_string(htmlentities(stripslashes($_REQUEST['name'])));
$query ="SELECT * FROM Games WHERE name LIKE '%{$name}%'";
谢谢.
我知道我可以使用PEAR和其他库来制作预先准备好的语句.但是,这个问题专门用于查询原始查询.
mysql_real_escape_string可以解决问题,.,
[编辑]
用于字符串:
$str = mysql_real_escape_string($input);
对于数值类型,类型转换就足够了:
$val = (int)$input;
京公网安备 11010802040832号 | 京ICP备19059560号-6 