标签: php sql security
我正在开发一个网站,并且我在问这个小代码是否容易受到SQL注入攻击或者它是否安全:
$param1 = $_GET['param1']; $sql_news="select * from table1 where attr1 = '$param1'";
我可以保持安宁吗?
Thanxs
答案 0 :(得分:1)
不,有人可以将$param1设置为' OR '1'='1,这将返回表格的完整内容。
$param1
' OR '1'='1