-2
SELECT * FROM用户WHERE 用户ID =“+ txtUserId如何防止数据注入?
如何防止数据注入??
下面的代码是合适的呢?
$username = mysqli_real_escape_string($GET['username']);
mysql_query("SELECT * FROM tbl_members WHERE username = '".$username."'");
SELECT * FROM用户WHERE 用户ID =“+ txtUserId如何防止数据注入?
如何防止数据注入??
下面的代码是合适的呢?
$username = mysqli_real_escape_string($GET['username']);
mysql_query("SELECT * FROM tbl_members WHERE username = '".$username."'");
PDO将保护您免受打针http://php.net/manual/en/book.pdo.php 使用准备好的语句http://php.net/manual/en/pdo.prepared-statements.php 例如:
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
$stmt->execute();
这是一个安全代码
请[仅限链接回答](http://meta.stackoverflow.com/tags/link-only-answers/info)。答案是“几乎不超过链接到外部网站”[可能会被删除](http://stackoverflow.com/help/deleted-answers) – Quentin
@Quentin添加了一个示例。 – user3798618