拒绝用户mysql注入

2018-06-05 06:43:51

可能重复：
如何防止PHP中的SQL注入？

如果用户输入直接插入到SQL查询中，则该应用程序易受SQL注入的影响，如下例所示：

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");

这是因为用户可以输入类似value'); DROP TABLE table;--东西value'); DROP TABLE table;-- value'); DROP TABLE table;-- ，进行查询：

INSERT INTO table (column) VALUES('value'); DROP TABLE table;--')

应该怎么做才能防止这种情况发生？

使用mysql_real_escape_string($_POST['data']);

或者我会建议使用PDO库

链接地址: http://www.djcxy.com/p/16803.html