用着个过滤传过来的值,这两个用之前先判断是否开启了
get_magic_quotes_gpc();没有开启的话用以下两个都可以过滤
mysql_real_escape_string();一般用于sql语句
addslashes();
例如:
if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname’]);
//或者mysql_real_escape_string($_POST[‘lastname’])
} else {
$lastname = $_POST[‘lastname’];
}
追问没有效果啊,我这是thinkphp框架啊,没有显示出任何的东西
追答这个是用来放sql注入的。你想有什么效果呀
追问我就是不明白,这段代码怎么用,那我写入数据库的时候取那个值啊?
追答写入数据的时候是$lastname 这个转义以后的值呀
本回答被提问者采纳