SQL注入绕过mysql_real_escape_string()?
即使使用mysql_real_escape_string()函数,是否有SQL注入的可能性?
SQL是像这样在PHP中构建的:
$login = mysql_real_escape_string(GetFromPost('login'));$password = mysql_real_escape_string(GetFromPost('password'));$sql = ""SELECT * FROM table WHERE login='$login' AND password='$password'"";听到很多人说,即使使用mysql_real_escape_string()函数,这样的代码仍然是危险的,甚至可能破解。
比如这样的经典注入:
aaa' OR 1=1 --回答
和开发者交流更多问题细节吧,去 写回答
相关文章
相似问题
相关问答用户
请输入您想邀请的人