Я новичок в PHP, и я понял, что мое подключение к базе данных с использованием php-формы (с пользовательскими и текстовыми вводами) было абсолютно небезопасным:
Это работало, но было небезопасно:
<?php
$link=mysqli_connect('localhost','xx','xx','xx');
$sql=' SELECT * FROM usuarios
WHERE username="'.$_POST['usuario'].'"
AND pass="'.$_POST['usuario'].'"
';
$rs=mysqli_query($link,$sql);
mysqli_close($link);
?>
Итак, я прочитал о mysqli_real_escape_string и решил попробовать:
<?php
$link=mysqli_connect('localhost','xx','xx','xx');
$usuario=mysqli_real_escape_string($link, $_POST["usuario"]);
$clave=mysqli_real_escape_string($link, $_POST["clave"]);
$sql=' SELECT * FROM usuarios
WHERE username="'.$usuario.'"
AND pass="'.$clave.'"
';
$rs=mysqli_query($link,$sql);
mysqli_close($link);
?>
Это правильно? Это хороший пример того, как использовать mysqli_real_escape_string?