分号不会引起任何问题。
使用准备好的语句。
在mysqli:
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something with $row
}
在PDO:
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(array(':name' => $name));
foreach ($stmt as $row) {
// do something with $row
}
使用mysql_real_escape_string
$unsafe_variable = $_POST["user-input"];
$safe_variable = mysql_real_escape_string($unsafe_variable);
mysql_query("INSERT INTO table (column) VALUES ('" . $safe_variable . "')");
检查这个问题,以了解更多信息How can I prevent SQL injection in PHP?
我从来没有听说过分号是一个问题。你能举一个你正在输入的例子吗? – 2013-04-27 02:59:32
另外,您不需要检测SQL注入,您需要使所有输入都是良性的。 – 2013-04-27 03:00:23
我还没有针对问题1的答案,但对于2,您可以做的是使用准备好的语句。 – 2013-04-27 03:00:31