考虑以下查询:
$iId = mysql_real_escape_string("1 OR 1=1"); $sSql = "SELECt * FROM table WHERe id = $iId";
mysql_real_escape_string()不会保护您免受此侵害。 您可以
''在查询中的变量周围使用单引号()来防止这种情况。以下也是一个选项:
$iId = (int)"1 OR 1=1";$sSql = "SELECt * FROM table WHERe id = $iId";
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)