一切的罪魁祸首就是sql语句是拼接起来的,一般可以采用占位符的方式解决
如果是拼接的话,有几种攻击方法:or 1=1;
特殊的符号xx'#或者xx'--(起到注释的效果)
预防
1.强制转换类型,以及检验
2.对特殊符号转义
便捷的方法
参数采用占位符的方式
?
$a=mysqli_prepare($db,@sql);
mysqli_stmt_bind_param($a,'ss',参数配置);
mysqli_stmt_execute($a);
结果集
mysqli_stmt_fetch($a)