如果用户输入未经修改而插入到SQL查询中,则该应用程序易受SQL注入的影响,如下例所示: 这是因为用户可以输入类似的东西value'); DROP TABLE table;--,查询变成: 可以做些什么来防止这种情况发生? 使用预准备语句和参数化查询。这些是由数据库服务器独立于任何参数发送并解析的SQL语句。这样攻击者不可能注入恶意的SQL。 你基本上有两个选择来实现这一点: 1 使用PDO(用于任何支持的数据库驱动程序): 2 使用MySQLi(用于MySQL): 如果你正在连接到MySQL以 […]