一些脚本小子一直试图将SQL注入我的网站。日志显示他正在输入电子邮件'和其他形式字段,其中包含" waitfor delay"什么东西和其他垃圾。
我使用转义字符串但只想检查这是否安全,例如:
$email = mysql_real_escape_string($_POST[email]);
$sql_result = mysql_query("SELECT * FROM members WHERE email='". $email. "'", $db);
$rs = mysql_fetch_array($sql_result);