Security Warning: этот ответ не соответствует лучшим рекомендациям по безопасности. Эвакуация неадекватна для предотвращения SQL-инъекции , вместо этого используйте подготовленные операторы . Используйте стратегию, изложенную ниже, на свой страх и риск. (Кроме того,
mysql_real_escape_string()
был удален в PHP 7.)Вы могли бы сделать что-то основное:
$safe_variable = mysql_real_escape_string($_POST["user-input"]); mysql_query("INSERT INTO table (column) VALUES ('" . $safe_variable . "')");
Это не решит каждую проблему, но это очень хороший ступень. Я оставил очевидные элементы, такие как проверка существования переменной, числа (числа, буквы и т. Д.).
В ответ на ПОЛУЧИТЬ запрос может использоваться Довольное Местоположение в HTTP, когда требуемый ресурс имеет в наличии несколько представлений, например, несколько языков. Выбор возвращенного ресурса будет зависеть от Принять заголовков в оригинале, ПОЛУЧАЮТ запрос.
Обычно, местоположение, определенное в заголовке Довольного Местоположения, отличается от местоположения, определенного в URI исходного запроса.
В ответ на ПОМЕЩЕННЫЙ или запрос POST,
Раздел 14.14 из состояний RFC 2616 :
поле MAY заголовка объекта Довольного Местоположения использоваться для предоставления местоположения ресурса для объекта включило в сообщение, когда тот объект доступен от местоположения, отдельного от URI требуемого ресурса...
Это используется в AtomPub (RFC 5023, Раздел 9.2) :
, Если запрос создания содержал Документ Записи Atom, и последующий ответ с сервера содержит заголовок Довольного Местоположения, который соответствует символу для символа заголовка Местоположения, затем клиент разрешен интерпретировать объект ответа, как являющийся полным представлением недавно созданной Записи. Без заголовка Довольного Местоположения соответствия клиент не ДОЛЖЕН предполагать, что возвращенный объект является полным представлением созданного Ресурса.