如果我能使用PHP 5,这会更容易一点。不幸的是,这不是一个可行的选项?
我已经在使用这个stackoverflow线程中的RFC 2822来验证电子邮件格式是否有效,当然这是在表单页面上使用JS,这不是最佳实践。
在保存之前,我会再次验证它是否符合此格式,但我想知道是否有任何方法可以用来帮助防止SQL注入?
错误的方式-"永远不要相信用户输入"!
首先确保数据是您想要的格式,然后查询数据库。因此,首先,检查$_POST[email_address]是否为有效的电子邮件格式,例如使用regex。只有当它是有效的电子邮件格式时,才能查询数据库。
电子邮件正则表达式(PHP)代码:
<?php
$email = "test@test.com";
if(eregi("^[_a-z0-9-]+('.[_a-z0-9-]+)*@[a-z0-9-]+('.[a-z0-9-]+)*('.[a-z]{2,3})$", $email)) {
echo "Email is valid.";
}
else {
echo "Email in invalid.";
}
?>
在输入上使用mysql_real_eescape_string()在验证了它是一封电子邮件之后,您应该在进入数据库的所有输入上使用该函数。