SQL注入所利用的漏洞是没有验证表单域中可能出现的危险字符,危险字符是指可能改变一个SQL查询实质的字符,如逗号,引号或–注释符。
解决方案如下:
1.利用trim()
利用PHP内置函数可以容易地去除前导或末尾的空格。
2.利用mysqli_real_escape_string()
能够找出所有可能有问题的字符,将危险字符转义,使它不能有意地影响查询的执行。这些字符仍然能做为数据出现在表单域里面。
SQL注入所利用的漏洞是没有验证表单域中可能出现的危险字符,危险字符是指可能改变一个SQL查询实质的字符,如逗号,引号或–注释符。
解决方案如下:
1.利用trim()
利用PHP内置函数可以容易地去除前导或末尾的空格。
2.利用mysqli_real_escape_string()
能够找出所有可能有问题的字符,将危险字符转义,使它不能有意地影响查询的执行。这些字符仍然能做为数据出现在表单域里面。