-1

例如我使用

$building_name = $_POST['BuildingName'];
$metering_type = $_POST['MeteringType'];
$query = "INSERT INTO buildings (BuildingName, MeteringType)
                       VALUES ('$building_name', '$metering_type')";
if(mysqli_query($link, $query))
{
    echo json_encode(Array("success"=>true));
}

而且我相信这可以防止我进行 SQL 注入。我安全吗?

4

1 回答 1

6

不,那丝毫不能保护你。

您需要使用MySQLi 的参数化查询通过prepare.

于 2013-02-12T16:59:23.740 回答