当 用户输入
的编码不正确时,就会发生SQL注入攻击。典型地,所述用户输入是一些数据的用户和她的查询时,在值即发送
$_GET,
$_POST,
$_cookie,
$_REQUEST,或
$_SERVER阵列。但是,用户输入也可以来自各种其他来源,例如套接字,远程网站,文件等。因此,您应该
将除常量 (例如
'foobar')以外的 所有内容都 视为用户输入 。
在您发布的代码中,
mysql_real_escape_string用于编码(=转义)用户输入。因此,该代码是正确的,即不允许任何SQL注入攻击。
请注意,忘记打给您很容易
mysql_real_escape_string-对于熟练的攻击者来说,一次就足够了!因此,您可能希望将现代的PDO与预准备语句一起使用,而不要使用adodb。
