我一直在编写一个将数据插入数据库的小脚本,但我不太确定这种方式是否安全。一些反馈会很酷!所以我的问题是,这是一种安全的插入数据的方式吗?
代码:
function dbRowInsert($table, $data) {
require_once('../config.inc.php');
$buildData = null;
$countLoop = 1;
foreach($data as $field) {
$sep = ($countLoop!=count($data) ? ',' : '') ;
if((int)$field == $field) {
$buildData .= (int)$field . $sep;
} else {
$buildData .= '"' .mysqli_real_escape_string((string)$field) . '"' . $sep;
}
$countLoop++;
}
$fields = array_keys($data);
mysqli_query($conn, "INSERT INTO" . $table . "(`" . implode('`, `', $fields) . "`)
VALUES('" . $buildData . "')");
}
最好的方法是使用面向对象的风格。这是第一次。第二是使用方法
prepare(), bind(), execute()
而不是
mysqli_real_escape_string()
等等。
阅读手册,它很简单,你会发现它非常有用和安全。
http://php.net/manual/en/mysqli.prepare.php