我有以下代码,我需要知道这是否是一个不安全的代码,如果是这样,我怎样才能使它安全。
我知道我可以将它转换为Prepared statements但我需要知道(据我所知)是否可以在不使用预准备语句的情况下使这段代码安全?
这是代码:
$sql="SELECT `id`, `title`, `slug`, `comment`, `date_added` FROM `blogs` WHERE slug='$title'";
$query = mysqli_query($db_conx, $sql);
$existCount = mysqli_num_rows($query);
if ($existCount!=0) {
while($row = mysqli_fetch_array($query, MYSQLI_ASSOC)){
$id = $row["id"];
}
}
任何建议都将受到赞赏。
提前致谢。