<分区>
Possible Duplicate:
Best way to prevent SQL Injection in PHP
在我的网站上,用户可以提交帖子和删除他们的帖子。
要删除帖子,他们点击链接 /posts.php?deletid=X
,其中 X 是帖子在数据库中的 ID(例如:1)。
点击后,它将运行以下内容:
if(isset($_GET['deleteid'])) {
$deleteid = $_GET['deleteid'];
$sql = "DELETE from `posts` WHERE `id`=".mysql_real_escape_string($deleteid).";";
$query = mysql_query($sql);
header('Location: posts.php');
exit();
}
问题是它容易受到 1=1 SQL 注入(inject)的攻击。如果他们在地址栏中输入 /posts.php?deletid=1 OR 1=1;
它将删除数据库中的所有帖子。
在这个问题中:How can I prevent SQL injection in PHP? , 我意识到我需要使用 mysqli 语句,我试图让它工作但没有成功..
有人可以确切地告诉我如何使用 mysqli 来防止这种情况吗?