有什么方法可以检查用户输入并阻止mysql注入？

"我们永远不应该信任用户的意见",这是我从网上某处读到的.

目前我有一个网络表单,他们输入用户名和电子邮件.对于username字段,如何控制,检查和阻止mysql注入？目前,在我的PHP脚本中我只这样做:

$username = mysql_real_escape_string($_POST['username']); // prevent mysql injection

我看到一些教程,在mysql_real_escape_string函数之前,它们包含其他函数,如htmlentities等(不记得它是什么,我现在无法找到它,感叹)

这是必须在mysql_real_escape_string之前包含所谓的"htmlentities"函数吗？

您通常用于检查用户输入数据的方法是什么？

哦,你还有其他一些功能:

stripslashes();
serialize();
urlencode();

我必须包括那些吗？

在将数据放入数据库时​​,您做得对.您可以防止SQL注入攻击.

htmlentities()与htmlspecialchars()SQL注入攻击无关; 它们与XSS攻击有关,这是您应该研究的另一个主题,如果您将用户输入显示回网络,则是相关问题.