如果您在收到用户的输入时使用 htmlspecialchars(),例如:
$email = htmlspecialchars($_POST['email']);
如果查询只是一个 SELECT ,那么你应该使用预备语句吗?
答案 0 :(得分:0)
您应始终使用预准备语句。这是一个例子: 如果用户输入以下内容:
"105 or 1=1"
htmlspecialchars()函数不会对它做任何事情。
查询看起来像:
SELECT * FROM Users WHERE UserId = 105 or 1=1
请参阅此doc