在拼接MySQL语句的时候尽可能的使用 #
而不是 $
简单的例子
假如我们要对用户密码进行校验的时候我们可能会使用到sql查询语句
select b_password from xxx where xxx
但是用户在输入密码时并没有输入常规密码,而是输入 or xxx=xxx
那么可直接进入系统!
在拼接MySQL语句的时候尽可能的使用 #
而不是 $
简单的例子
假如我们要对用户密码进行校验的时候我们可能会使用到sql查询语句
select b_password from xxx where xxx
但是用户在输入密码时并没有输入常规密码,而是输入 or xxx=xxx
那么可直接进入系统!