我一直在考虑一个项目来完成,在后端有SQL语句做各种事情,如你所期望的。这是查询容易受到SQL注入攻击
在我使用PDO来构造使用参数化,以避免注入攻击SQL查询过去。
虽然通过读码我注意到的形式很多疑问:
$sql = "SELECT * FROM detail WHERE email ='$email'";
$query = mysqli_query($dbcon, $sql);
在没有参数设置或输入的清洁。
是这种类型的查询脆弱的,应该不存在某种形式的参数化,更重要的是我应该解释所涉及,因为它似乎开发商不知道风险的风险。
*是这种类型的查询弱势*是, *应该没有某种形式的参数化?*是的。但是你可以用mysqli实现它。你不能更改为PDO – Jens
可以达到你想要的mysqli什么,但恕我直言,PDO是更容易使用比'MySQLi_ *' – GrumpyCrouton
你的代码中有'mysqli'连接和'PDO'连接? – chris85