我熟悉準備好的語句,我知道它們是防止MySQL注入的最佳實踐。但我不知道這個PHP/MySQL的聲明可能是如何在注入攻擊的風險:MySQL注入查詢
$result = mysqli_query($db,"SELECT name FROM users WHERE id = '".$_POST['name']."';");
在我看來,像來自用戶的輸入將被包含在單引號內。你可以在一個mysqli_query
聲明中執行多個查詢嗎?
而且,使上述安全一樣簡單,因爲這...
$result = mysqli_query($db,"SELECT name FROM users WHERE id = '".mysqli_real_escape_string($_POST['name'])."';");
看看這個:http://www.unixwiz.net/techtips/sql-injection.html – mcalex
http://xkcd.com/327/ – Stu
到目前爲止答案沒有解決這個問題:這似乎是關鍵 - 你可以在一個mysqli_query語句中執行多個查詢嗎? – Randy