PHP开发者常犯的10个MySQL错误(3)
来源:未知 责任编辑:责任编辑 发表时间:2015-03-01 01:34 点击:次
$username = $_POST["name"];
$password = $_POST["password"];
$sql = "SELECT userid FROM usertable WHERE username=?$username?AND password=?$password?;"; // run query...
这样的代码,如果用户输入”admin’;”那么,就相当于下面这条了:
SELECT userid FROM usertable WHERE username=?admin?;
这样入侵者就能不输入密码,就通过admin身份登录了。
4.不使用UTF-8
相关新闻>>
- 发表评论
-
- 最新评论 更多>>
![smarty局部缓存技术[源码分析]](/uploads/allimg/130827/11214T939-0-lp.jpg)
