首先,我要指出,这是在我自己的数据库上进行的一次教育尝试,目的是更好地理解MySQL注入以保护我自己的代码。然后,MySQL查询尝试在我的名为users的表中查找输入的用户名和密码,如下所示:
$res = mysql_query("SELECT * from userswhere user='{$user}' A
即使使用mysql_real_escape_string()函数,是否有SQL注入的可能性?SQL是像这样在PHP中构建的:
$password = mysql_real_escape_stringpassword'));
$sql = ""SELECT * FROM table WHERE login='$login' AND pass