我正在開發一個網站,我或者問這個小小的代碼容易受到SQL注入,如果它是安全的:這是GET安全的SQL注入?
$param1 = $_GET['param1'];
$sql_news="select * from table1 where attr1 = '$param1'";
我可以留在和平?
Thanxs
我正在開發一個網站,我或者問這個小小的代碼容易受到SQL注入,如果它是安全的:這是GET安全的SQL注入?
$param1 = $_GET['param1'];
$sql_news="select * from table1 where attr1 = '$param1'";
我可以留在和平?
Thanxs
不,有人可以設置$param1
,例如,' OR '1'='1
,這將使該表的全部內容。
非常不安全。 – yivi
沒有。 http://stackoverflow.com/questions/601300/what-is-sql-injection,http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php – Federkun
http: //php.net/manual/en/security.database.sql-injection.php –