PHP 和 SQL 注入

Question

我有这个 PHP，我只是想确保它不会受到 SQL 注入和安全漏洞的影响：

<?php
require_once "./source/includes/data.php";
header('Content-type: application/json');
$request = mysql_real_escape_string($_REQUEST['email_address']);

$query = mysql_query("SELECT * FROM mmh_user_info WHERE email_address ='$request'");
$result = mysql_num_rows($query);
if ($result == 0){
$valid = 'true';}
else{
$valid = 'false';
}
echo $valid;
?> 

我还是个 php 新手，任何改进或编辑将不胜感激！

Answer 1

我建议你使用正在成为 PHP5 标准的 PDO：

$sth = $dbh->prepare("SELECT * FROM mmh_user_info WHERE email_address = ?");
$sth->execute(array($_REQUEST['email_address']));
$red = $sth->fetchAll();

Answer 2

对于用户Pascal MARTIN 在this great answer 中指出的点，我将使用 $_POST 而不是 $_REQUEST：

$_REQUEST默认包含$_GET、$_POST和$_COOKIE的内容。

但这只是一个默认值，取决于variables_order；并且不确定是否要使用 cookie。

如果我必须选择，我可能不会使用$_REQUEST，我会选择$_GET 或$_POST -- 取决于我的应用程序应该做什么 （即一个或另一个，但不是两者兼而有之）：一般来说：

• 当有人从您的应用程序请求数据时，您应该使用$_GET。
• 当有人推送（插入或更新；或删除）数据到您的应用程序时，您应该使用$_POST。

无论哪种方式，性能不会有太大差异：与脚本的其余部分相比，差异可以忽略不计。