这个代码错误吗?mysql_real_escape_string它允许在SQL查询中没有引号?
<?php
if (isset($_GET['Submit'])) {
// Retrieve data
$id = $_GET['id'];
$id = mysql_real_escape_string($id);
$getid = "SELECT first_name, last_name FROM users WHERE user_id = $id";
$result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>');
$num = mysql_numrows($result);
$i=0;
while ($i < $num) {
$first = mysql_result($result,$i,"first_name");
$last = mysql_result($result,$i,"last_name");
echo '<pre>';
echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last;
echo '</pre>';
$i++;
}
}
?>
尽管事实上它使用了mysql_real_escape_string,攻击者仍然可以注入不带引号的代码。
这是DVWA存在漏洞的Web应用程序的一部分。
请问函数mysql_real_escape_string()块引号,但对我来说,似乎是让没有引号在所有...
,对吗?
[**'mysql_XXX'函数已被弃用**](http://www.php.net/manual/en/faq.databases.php#faq.databases.mysql.deprecated)。 –
[此扩展从PHP 5.5.0开始已弃用,并且将来会被删除](http://php.net/manual/en/function.mysql-real-escape-string.php) – rlatief
为什么不使用对于一个int var只是'$ id =(int)$ _GET ['id']'? –