在这之前应该用php的什么函数去处理它这个$_GET["search"]随机任意字符串啊,查询时即不对数据库安全造成影响,也不会对用户搜索体验造成影响,也就是无论用户搜索什么都把它看成是普通字符串去搜索或写入不要错误当成了mysql的命令部分了!
htmlspecialchars(); ?还是 addslashes(); ?
我现在直接这样写听说有安全问题不行吧
$mesage = $_GET["search"];
"WHERE `message`='{$mesage}'"
5 个解决方案
#1
addslashes()
#2
或者使用pdo的prepare預處理。
#3
如果 $pass = '%1%'; "WHERE `pass`='{$pass}'"; 这时的%符号是当做普通字符处理了吧还是当成通配符?
#4
通配符
#5
如果 $pass = '%1%'; "WHERE `pass`='{$pass}'"; 这时的%符号是当做普通字符处理了吧还是当成通配符?
通配符
通配符
#1
addslashes()
#2
或者使用pdo的prepare預處理。
#3
如果 $pass = '%1%'; "WHERE `pass`='{$pass}'"; 这时的%符号是当做普通字符处理了吧还是当成通配符?
#4
通配符
#5
如果 $pass = '%1%'; "WHERE `pass`='{$pass}'"; 这时的%符号是当做普通字符处理了吧还是当成通配符?
通配符
通配符