查询参数化以避免SQL注入

时间:2016-01-18 09:04:46

标签: php sql sql-injection

我是新手,有人可以帮助我吗?

有人告诉我,SQL注入漏洞利用这种编码方式可以从数据库中读取敏感数据。我需要参数化SQL查询,以便应用程序不易受SQL注入攻击。有人可以帮助我吗?

if(isset($_GET['n']))
      {
      $id=$_GET['n'];
 $query= mysql_query("select * from announcements where announce_id=" . $id);
 while($row= mysql_fetch_array($query))

这应该这样做,例如: announcement.php?安= 223

非常感谢

0 个答案:

没有答案