sql注入:
正常情况下:
delete.php?id=3; $sql = ‘delete from news where id = ‘.$_GET[‘id’];
恶意情况:
delete.php?id=3 or 1; $sql = ‘delete from news where id = 3 or 1’; ——-如此执行后,所有的记录将都被删除
应该采取相关措施。。。比如用之前先判断是否是数字等等。
要使自己相信,从客户端传来的信息永远是不可靠的!!
转义:
有时候从客户端传来的数据,可能恶意包含些特殊的字符,比如单引号、斜杠等,所以需要转义,