PHP：mysql_real_escape_string是否足以清理用户输入？

PHP：mysql_real_escape_string是否足以清理用户输入？

mysql_real_escape_string

在所有情况下都不够，但是绝对是一个很好的朋友。该 更好的 解决方案是使用
预处理语句

//example from http://php.net/manual/en/pdo.prepared-statements.php$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");$stmt->bindParam(1, $name);$stmt->bindParam(2, $value);// insert one row$name = 'one';$value = 1;$stmt->execute();

另外，不要忘记可以用来丢弃任何无效/可疑字符的 HTMLPurifier 。

......

编辑： 根据以下评论，我需要发布此链接（在造成混乱之前，我应该做的）

mysql_real_escape_string（）与预备语句

报价：

mysql_real_escape_string（）容易发生影响addslashes（）的同类问题。

Chris Shiflett （安全专家）