※ 引述《timyau (偉哉!33WR)》之銘言： : 我想要在表單上判斷輸入的內容 : 比如輸入帳號時，只允許數字與英文(避免'符號與SQL 隱碼攻擊) : 那麼我是要在表單輸入時就進行 ereg("[0-9][a-Z]",$username); : 還是要在SQL 語法執行前 : 使用 if (!get_magic_quote_gpc()) addslashes($username); : sprintf("SELECT data FROM user WHERE username = %s", $username); : 然後再帶進去比較好呢? : 感謝指教 建議檢查表單內容要在javascript和 PHP都做 javascript是防止使用者打錯，但是如果有人有心要破壞 只要把瀏覽器的JS功能關掉，你的檢查就失效了 至於php端在什麼地方做檢查，這個就隨大家高興啦 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.228.179.220