考虑以下查询:
$iId = mysql_real_escape_string("1 OR 1=1"); $sSql = "SELECt * FROM table WHERe id = $iId";mysql_real_escape_string()不会保护您免受此侵害。 您可以
''在查询中的变量周围使用单引号()来防止这种情况。以下也是一个选项:
$iId = (int)"1 OR 1=1";$sSql = "SELECt * FROM table WHERe id = $iId";
