在此部分需要替换:
$sql = "SELECT * FROM wallets WHERE id = '$user' LIMIT 1";
需要执行以下操作:对mysql_real_escape_string()参数使用$user函数
如何实施?
$sql = "SELECT * FROM wallets WHERE id = '$user' LIMIT 1";
消除漏洞!
答案 0 :(得分:0)
您确实应该将代码从mysql扩展名升级到mysqli或PDO,然后使用参数化查询。 mysql扩展名在几年前已被弃用,并已从PHP 7中完全删除。
但是,如果您仍在使用此扩展程序,则可以执行以下操作:
$user_esc = mysql_real_escape_string($user);
$sql = "SELECT * FROM wallets WHERE id = '$user_esc' LIMIT 1";