各位程序员们,表单传递的参数你们是怎么防注入的? <input id="tt" name="tt" />$sql = mysql_query("SELECT * FROM www WHERE tt='$tt'");这样直接带入查询是不是不安全啊,怎么样防止sql注入啊 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 最好用sqli或pdo的prepare来执行sql,或者过滤下引号、分号之类的符号 能给个写法吗?或者给个相关教程网址sql安全第一次接触,啥都不懂 <?php/* 通过绑定的 PHP 变量执行一条预处理语句 */$calories = 150;$colour = 'red';$sth = $dbh->prepare('SELECT name, colour, calories FROM fruit WHERE calories < :calories AND colour = :colour');$sth->bindParam(':calories', $calories, PDO::PARAM_INT);$sth->bindParam(':colour', $colour, PDO::PARAM_STR, 12);$sth->execute(); 直接带入肯定是不安全的!推荐使用mysqli 或者 pdo的预处理来处理sqlmysql的话用mysql_real_escape_string() 函数处理下参数 推荐使用Pdo 预处理机制 来防止sql注入 关于php 进度条 php delete问题 linux环境下上传文件的默认权限 PHP中session存储数据库方式,如何判断用户已经登录——防止不同机器重复登录? 请教大家一个js问题:为什么子页面返回的js对父页面作用失败? 这里有人写过extension吗 折线图自动刷新问题? 新手对 PHP变量生命周期 的提问 救命啊,我的PHP传不了值啊,在线等~~~~ 请问如何将html压缩?类似jq.mini,把所有的代码堆一块 新手求问一个,页面之间的传值问题 php 正则问题 求大师兄们帮忙
能给个写法吗?或者给个相关教程网址sql安全第一次接触,啥都不懂
/* 通过绑定的 PHP 变量执行一条预处理语句 */
$calories = 150;
$colour = 'red';
$sth = $dbh->prepare('SELECT name, colour, calories
FROM fruit
WHERE calories < :calories AND colour = :colour');
$sth->bindParam(':calories', $calories, PDO::PARAM_INT);
$sth->bindParam(':colour', $colour, PDO::PARAM_STR, 12);
$sth->execute();
推荐使用mysqli 或者 pdo的预处理来处理sql
mysql的话用mysql_real_escape_string() 函数处理下参数