标签: php sql sql-injection
这足以防止SQL注入:
$value1 = htmlspecialchars($_GET['input1'], ENT_QUOTES, 'UTF-8'); $value2 = intval($_GET['input2']); SELECT xy FROM a WHERE a = '$value1' AND b = $value2;
例如:每个字符串输入都在'...'中,每个非字符串输入都通过intval / doubleval转换为数字。
查询通过mysqli _