我还在学习有关SQL注入,但总是对我来说最好的办法是使用的例子,所以这是我的代码部分:我可以对此代码执行SQL注入吗?
$sql = "INSERT INTO `comments` (`id`, `idpost`, `comment`, `datetime`, `author`, `active`)
VALUES (NULL, '" . addslashes($_POST['idcomment']) . "', '" .
addslashes($_POST['comment']) . "', NOW(), '" .
addslashes($_POST['name']) . "', '1');";
mysql_query($sql);
知道了所有的POST变量是由用户输入,可以你向我展示了如何为这个脚本注入?所以我可以更多地了解这个漏洞。谢谢!
我的数据库服务器是MySQL。
请读得好的问题,是如何使注射,而不是如何防止它 – DomingoSL 2011-01-28 18:31:26
请使用[PDO ](http://net.tutsplus.com/tutorials/php/why-you-should-be-using-phps-pdo-for-database-access/)来保护自己免受sql注入。 PDO准备好的声明(请参阅PDO链接)是安全的。 – Alfred 2011-01-28 22:17:07