这个问题在这里已有答案:
我正在开发一个网站,我问这个小代码是否容易受到SQL注入攻击或是否安全:
$param1 = $_GET['param1']; $sql_news="select * from table1 where attr1 = '$param1'";
我可以保持安静吗?
Thanxs
不,有人可以将 $param1 设置为例如 ' OR '1'='1 ,这将返回表的完整内容 .
$param1
' OR '1'='1
1 回答
不,有人可以将
$param1
设置为例如' OR '1'='1
,这将返回表的完整内容 .