这样可以避免 // ;引起的漏洞$query="SELECT FROM table WHERE password='$_POST[password]' AND user='$_POST[username]'";
post或者get得到的数据一定要经过处理,否则别直接使用 可以改成 $query="SELECT FROM table WHERE password='".addslahes($_POST[password])."' AND user='".addslahes($_POST[username])."'";
应该对其进行检查,看是否有不安全内容.---这就是所谓过滤什么是不安全内容自己可以决定,比如说,你可以将所有含'mysql'的字符都认定为
不安全.....等等等等了,你需要自己想
可以改成
$query="SELECT FROM table WHERE password='".addslahes($_POST[password])."' AND user='".addslahes($_POST[username])."'";
如果是mssql,就把'替换为''