可能重复:
如何防止 PHP 中的 SQL 注入?
考虑这个片段,
*mysqltest.php*
$user_id= $_GET['user_id'];
$user_id= mysql_real_escape_string($user_id);
$query = "SELECT * FROM people WHERE uid=".$user_id;
echo $query;
//then execution ..
现在,当我们将此脚本称为“mysqltest.php?user_id=56 or 1”时
查询将是 SELECT * FROM people WHERE uid=56 or 1并导致成功注入。
那么在列是数字类型的这种情况下,我们如何保护自己呢?
在不使用 pdo 或准备好的语句的情况下,在这些情况下是否还有其他解决方法?