还应该给条件加个"就安全了。
如select * from table_name where id="1 or 1=1";这样子就好点。
如select * from table_name where id="1 or 1=1";这样子就好点。
解决方案 »
- 问基础问题
- php session失效和串用户的问题
- php访问问题
- 救助.........................................在线等~~
- 请问一下,申请了一个空间,而且里面自带一个数据库,我用默认的账号密码连接SELECT command denied to user 这个错误
- 如何随机获取mysql中的任意一条记录?
- 请教怎样在网页中嵌入windows画图板功能?或者怎样实现类似画图板功能?
- PHP 函数的参数 问题 (参数能不能是类)
- 关于PHP面向对象的问题希望各位看看
- 什么是分页!??
- (顶者有分)有人能提供类似www.taobao.com的软件平台吗?
- 怎么察看 php网站的信息了。例如:phpinfo() www.baidu.com/********* 后面加什么了。谢谢。
这样的语句在程序可能是
select * from table_name where id="$id or 1=1";
这样肯定不安全的
应该写为
select * from table_name where id='$id';
当然在这里只讨论$id是经过转义的字符串。