可能重复:
Best way to prevent SQL Injection in PHP
Does mysqli class in PHP protect 100% against sql injections?
因此,我一直在阅读有关SQL注入的安全性,而PDO似乎是最安全的方法来对抗任何此类攻击,我决定从MYSQL_转移到MYSQLI _。
所以在转换之后我决定了它的时间我开始使我的网站足够安全。
因此,举个例子,我开始使用mysqli_real_escape_string。下面的代码是否足够安全......或者我可以进一步构建它吗?我需要将它添加到我的SELECT语句,还是只是我的INSERT语句?
$sql_follows="SELECT * FROM friends WHERE user1_id=".mysqli_real_escape_string($mysqli,$user1_id)." OR user2_id=".mysqli_real_escape_string($mysqli,$user2_id);
$query_follows=mysqli_query($mysqli,$sql_follows) or die("Error finding friendships");