Tôi sẽ nói rằng điều đó là quá chung chung. Nó có thể an toàn cho nhiều mục đích sử dụng, nhưng nó thường gây ra những tác động phụ không mong muốn đối với chuỗi. Không phải mọi chuỗi đều nên được thoát như vậy.
-
mysql_real_escape_string()chỉ nên được sử dụng trong các truy vấn SQL. Tốt hơn nữa, hãy liên kết các thông số với PDO. - Tại sao bạn muốn tạo ra các thẻ dải và mã hóa các thực thể trước khi chèn vào cơ sở dữ liệu? Có lẽ bạn nên làm điều đó trong quá trình đi ra ngoài.
- Để ngăn chặn XSS, hãy
htmlspecialchars()là bạn của bạn nhiều hơn. Đặt cho nó bộ ký tự làm đối số.
Vì vậy, tôi sẽ sử dụng mysql_real_escape_string() cho các truy vấn và htmlspecialchars() để lặp lại các chuỗi do người dùng gửi. Ngoài ra còn có rất nhiều điều cần biết. Thực hiện một số đọc thêm
.
