可能的重复:
防止mysql注入和跨站点脚本的最佳方法
如何在mysql insert语句中包含PHP变量
我想知道在从密码字段获取文本时,是否有人遇到过stripslashes语句,在这种情况下,是否有任何方法可以执行SQL注入?
例如,在PHP语言中,您可以从网站的密码字段中获取文本,并通过stripslashes语句将其传递以删除任何('),因此('或1=1-)变为(或1=1)。并使SQL注入变得困难。
stripslashes从数据中删除作为转义字符的斜杠(\),而不是引号(')。如果有的话,它的使用将增加存在SQL注入漏洞的可能性。
要防止SQL注入,请使用准备好的语句和参数化查询。
