0

可能重复:
如何防止 PHP 中的 SQL 注入?

如果用户输入直接插入到 SQL 查询中,则应用程序容易受到 SQL 注入的攻击,如下例所示:

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");

那是因为用户可以输入类似的内容value'); DROP TABLE table;--,进行查询:

INSERT INTO table (column) VALUES('value'); DROP TABLE table;--')

应该怎么做才能防止这种情况发生?

4

1 回答 1

3

利用mysql_real_escape_string($_POST['data']);

或者我建议改用PDO

于 2013-01-24T16:42:39.110 回答