我有一個像這樣在我的網頁鏈接:http://test.com/index.php?function=news&id=88
所以每當我把「88後,我收到以下錯誤:警告:和mysql_fetch_row()預計參數1是資源,布爾在...行588
所以我讀了關於mysql_real_escape_string(),但我得到的ID不張貼,我不知道我應該如何防止出現此錯誤。
function news()
{
$query = mysql_query("SELECT * FROM news WHERE id=".$_GET['id']."");
while($news = mysql_fetch_row($query))
{
...
}
}
這意味着代碼中的某些內容正在使用$ _GET ['id']並直接在查詢中使用它。充其量,它可以阻止你的查詢工作。最糟糕的是,它會讓別人在你的服務器上運行自己的SQL代碼。 – andrewsi
使用準備好的語句而不是試圖轉義。請參閱http://stackoverflow.com/questions/60174/how-to-prevent-sql-injection-in-php – MrCode
[偉大的逃避現實(或:你需要知道如何處理文本中的文本)](http: //kunststube.net/escapism/) – deceze