是否使用htmlspecialcharacters和单引号足以登录表单?

时间:2016-01-29 15:36:09

标签: php html mysql sql-injection

我有以下代码

$username=htmlspecialchars($_POST['username'],ENT_QUOTES);
$sql="SELECT * FROM user_account WHERE account_name='".$username."'";

这是否容易受到sql注入攻击。如果是这样,有人怎么设法绕过这个?

1 个答案:

答案 0 :(得分:1)

像这样使用MySQLi 

$username = mysqli_real_escape_string($con, $_POST['username']);
$con is your connection

阅读此内容

  1. SQL Injection Protection - single quotes
  2. How can I prevent SQL-injection in PHP?

    3. Advantages Of MySQLi over MySQL

相关问题
最新问题