Tag: escaping

jQuery会自动转义ajax

我正在使用jQuery来检查是否采用了用户名。 我的问题是$.post似乎逃脱了任何事情。 例如，我使用这个： $.post(“http://mywebsite.com/check_username.php”, { “username”: $(“#username_txt”).val() }, function(data, textstatus, xmlhttp){ // do stuff }); 将用户名发送到页面check_username.php ，粗略地说， $username = mysql_real_escape_string($_POST[“username”]); echo $username; // show the perceived username echo mysql_query(“SELECT * FROM users WHERE username=\””.$username.”\”;”) === false ? 1 : 0; 如果输入字段中的用户名是”bob” （带引号），则数据的返回\\\”bob\\\”0 。 没有mysql_real_escape_string，它会显示\”bob\” 。 如果我敢这样做，那么潜在的攻击者可以轻松地将SQL代码注入到我的应用程序中。 关于get和post的jQuery文档我没有看到任何关于此的内容，所以我不知道如何阻止它。 除非我的ajax不使用jQuery，我该如何解决这个问题？