php - mysql注入问题

稍大一点的公司都会封装一些函数来防注入的....

PDO修炼中

PDO.... 同意楼上的

防注入~~我选PDO。。。

传入参数要用参数对象来处理。自己直接=号，很容易被注入。

mysql 和 php 都提供了放注入的机制。不过，推荐使用 PDO。

此处原本代码应该当是and(后跟的变量未被过滤，从代码来看，此处应当期望输入的是一个数字，所以此处应当intval输入的参数。

例如

$sql = "SELECT xxx from table where cid = '1' and (".intval($_GET['ids'].")";

我之所以认为这边期望输入的是一个数字，是因为and后面的(内没有单引号，不是and('，如果期望引用的不是数字而是字符串的话，在正常业务中就会出错。

我建议，引用输入的时候，都必须用单引号包裹，可以考虑楼上说的pdo这类占位符机制引入变量

您可以看看pdo中的prepare。：）