你好,我目前在Jeffrey Way的Codeigniter教程的第2天。在这个截屏,他说,在下面基本了解防止sql注入codeigniter
$sql = "SELECT title, author, contents FROM data
WHERE id = ? AND author = ?";
$q= $this-> db-> query($sql, array(1,'jeffrey'));
线,如果用户输入什么有趣的地方“杰弗里”应该是,然后它会自动逃跑,防止SQL注入攻击。
这是因为codeigniter有自己的查询()参数验证?或者一般情况下,绑定值到?防止一般的SQL注入?
(基本的了解我有SQL注入的是,你可以键入“杰弗里和删除表的内容”会杀死表好看多了,或运行其他不良的mysql命令)
这是*实际* CI做了什么?为什么不使用正确的参数绑定? – Phil 2012-03-21 04:25:10