可能重复:
mysql_real_escape_string() 和 mysql_escape_string() 是否足以保证应用安全?
所以基本上我在 URL 中有一个 qryName
例如:mysite.com/qryName=WHAT
if (isset($_GET['qryName']))
{
$qryName = mysql_real_escape_string(filter($_GET['qryName']));
}
$urldata = mysql_fetch_assoc(mysql_query("SELECT * FROM gangs WHERE ShortName = '" . $qryName . "' LIMIT 1"));
$urldata 是代码,所以它几乎是从数据库中选择的。请注意,在数据库中,qryName 没有空格、特殊字符等。
只是想知道这是否可以利用?