<分区>
我在页面上接收的所有参数上使用 addslashes()。并且还在 mysql 查询中围绕这些变量应用单一法院。这是我的代码:
$string = addslashes($_POST['string']);
$queryString = " INSERT INTO general (description) VALUES ('$string')";
$query = mysql_query($queryString);
和
$queryString = "SELECT description FROM general WHERE description = '".$string."'";
$query = mysql_query($queryString);
这段代码中是否存在 SQL INJECTION 的可能性?