可能的重复项:
如何防止 PHP 中的 SQL 注入?
如果用户输入直接插入到 SQL 查询中,则应用程序容易受到 SQL 注入的影响,如以下示例所示:
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");
这是因为用户可以输入类似 value'); DROP TABLE table;--
的内容,进行查询:
INSERT INTO table (column) VALUES('value'); DROP TABLE table;--')
应该怎么做才能防止这种情况发生?
使用mysql_real_escape_string($_POST['data']);
或者我建议改用PDO
库