2
自从我做了任何MySQL并且我一直在学习一些有关PDO的知识之后,它一直是AGES。我只是想知道这是否是正确的做事方式?这个MySQL语句注入是否安全?
在此先感谢!
$sql = 'SELECT `something`,`somethingelse` FROM here WHERE id = \'' . $_REQUEST["id"] . '\'';
$stmt = $db->prepare($sql);
$stmt->execute();
那么如果'$ _REQUEST [“id”]'包含例如'1'或'1'='1',那么您的查询就是'SELECT something,somethingelse FROM here WHERE id ='1'或'1'='1'',所以不是不安全。 –