注入类型
1.数字注入
?id=12 or 1=1
结果:查询出了数据库所有数据
2.字符注入
用户名后加上 '# 或者 '-- ,生成的查询语句从密码后其实是被注释了,所以绕过了密码验证
预防方法
1. is_number()进行类型判断,或者 intval()进行强制类型转换
2. addslashes()对单引号、双引号进行转义
3. 不做说明
xie-xiao-chao 2018-05-19 12:15 原文
注入类型
1.数字注入
?id=12 or 1=1
结果:查询出了数据库所有数据
2.字符注入
用户名后加上 '# 或者 '-- ,生成的查询语句从密码后其实是被注释了,所以绕过了密码验证
预防方法
1. is_number()进行类型判断,或者 intval()进行强制类型转换
2. addslashes()对单引号、双引号进行转义
3. 不做说明