$sql="select * from `aaaa` aaa where aaa.`a_id` = '".$id."' ";
必须需双引号包单引号,变量必须写在外层。表名、字段名必须使用 ` 号(数字键1前面的那个符号)。
$id之类的任何传入变量字段值,无论任何数据,不管是查询还是修改,都必须包在单引号内(不要考虑mysql自动转换数据类型时的开销,安全比这个更重要!)。
上面这个是我朋友,给我提出的建议。
我不明白,为什么必须是双引号包括单引号。另外“变量必须写在外层”是什么意思?
必须需双引号包单引号,变量必须写在外层。表名、字段名必须使用 ` 号(数字键1前面的那个符号)。
$id之类的任何传入变量字段值,无论任何数据,不管是查询还是修改,都必须包在单引号内(不要考虑mysql自动转换数据类型时的开销,安全比这个更重要!)。
上面这个是我朋友,给我提出的建议。
我不明白,为什么必须是双引号包括单引号。另外“变量必须写在外层”是什么意思?
要想最大程度的避免sql注入攻击,存储过程很大程度的避免了sql注入。