下面的代码是用php写的:
$user = addslashes($_POST['user']);
$pwd = addslashes($_POST['pwd']);
$query = "SELECT * FROM userdata WHERE UserName='$user' AND Password=PASSWORD('$pwd')";
然后查询将被发送到mysql 还有什么需要我处理的吗?
请指出。
最佳答案
不,这不安全,请使用 mysql_real_escape_string
在最低限度:
$user = mysql_real_escape_string($_POST['user']);
$pwd = mysql_real_escape_string($_POST['pwd']);
为了更好安全,请选择prepared statements .
最佳选项:
你可能会问选择哪一个,查看:
关于php - 这个 SQL 查询是安全的吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11073279/