可能重复:
在 PHP 中防止 SQL 注入的最佳方法?
我一直在做一些关于 SQL 注入的研究,但我有一些我找不到答案的问题。难道不能防止字符串级别的SQL注入攻击吗?我的意思是,我们不能阻止它吗?
在通过 mysql 查询处理它们之前找到非法字符?
$postID = $_POST['id']; if($postID contains characters) remove characters; if($postID still contains characters) then exit; else mysql_real_escape_string($postID); //just in case? continue to do whatever you are doing...
真的有必要使用 PDO/mysqli 的东西吗?分析要在mysql中处理的sql字符串是否足够?请记住,在回复时我不是 PHP 或 MySQL 专家。我是一个试图了解他们的人。