0
如果用戶輸入被插入到直接在SQL查詢,應用程序變得容易受到SQL注入,如在下面的例子:
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");
這是因爲用戶可以輸入像value'); DROP TABLE table;--,使查詢:
INSERT INTO table (column) VALUES('value'); DROP TABLE table;--')
應該怎麼做,以防止這種情況?
預處理語句是你的朋友。但是如果你使用mysql_ *,你不能使用它們,而且,mysql_ *被有效地棄用,你不應該使用它。改用mysqli或PDO。 – GordonM