>您好,感谢大家帮助我解决当前的问题,如果是这样,您能检查一下这段代码是否有任何漏洞吗?
$sql="INSERT INTO `paypal_mysqltable_name` (datenow, item_name, item_number, payment_status, payment_amount, payment_currency, payer_email, payment_type, custom,
invoice, first_name, last_name, address_name, address_country, address_country_code, address_zip, address_state, address_city, address_street)
VALUES (CURRENT_TIMESTAMP,'item_name','$item_number','$payment_status', '$payment_amount','$payment_currency','$payer_email', '$payment_type','$custom' ,'$invoice','$first_name','$last_name','$address_name','$address_country','$address_country_code','$address_zip','$address_state','$address_city','$address_street')";
$result=mysql_query($sql,$link);
大家好,对不起,我不太习惯 SQL 和 php,我已经按照推荐的方式将我的$link变成了 MYSQLi,但我在将我呈现的语句写成这种格式时遇到了问题。
$stmt = $mysqli->prepare("
谁能帮忙
首先mysql_*
不推荐使用函数。所以切换到 MySQLi
或 PDO
.
来回答你的问题..
似乎您担心SQL注入问题,如果您使用PreparedStatements
则可以很好地避免它们(SQLi),因为转义是自动完成的。
将 mysql-real-escape-string 用于字符串,将 intval 用于整数
为了更安全地使用这款 PDO,这款 PDO