可能重复:
在 PHP 中防止 SQL 注入的最佳方法
php get var clear 好不好请帮帮我
function Clear($text)
$Var = str_replace("'", "", $text);
$Var = str_replace('"', '', $Var);
$Var = strip_tags($Var);
$Var = htmlentities($Var);
return $Var;
}
$_GET['Var'] = "1='1'";
$Var = Clear($_GET['Var']);
$Query = "SELECT * FROM TABLE_NAME WHERE COL ='{$Var}'";
echo 'Result : '.($Query);
它用于 SQL 注入,这是我使用 pdo 编写的示例代码。如果我使用 mysql_real_escape_string 它不起作用。