当我");--从输入字段发送到我的localhost PHP服务器时,它自动将其转换为
\"); -
这似乎很棒,除了我不知道这种行为是多么值得信赖.虽然它似乎避免了SQL注入,但我的开发环境与生产环境不同,我担心生产环境可能没有自动激活这种保护......
为什么PHP会这样做(转换输入而不必使用mysql_real_escape_string)?它总是这样做还是仅限于某些扩展?依赖此行为来阻止SQL注入是否安全?
您似乎启用了Magic Quotes.但您最好禁用此选项或还原它们.mysql_real_escape_string更安全.
京公网安备 11010802040832号 | 京ICP备19059560号-6 