php - 这个搜索系统是否容易受到 SQL 注入的影响？

问题描述

我创建了一个基于 PHP 和 SQLi 的搜索系统。这是非常基本的，并且可以像我发现的所有内容一样工作。我只有一个问题。一个非常卑鄙和愤怒的人 SQL 可以注入我的搜索系统。搜索通过 POST 中的 HTML 表单提交。

搜索系统代码

...

require 'includes/dbh.inc.php';

$search = $_POST['search'];

$mysqli = $conn;

$query = "SELECT * FROM listings WHERE listing_name LIKE '%".$search."%'";
echo '<b> <center class="listingstitle">Listings</center> </b> <br> <br>';


if ($result = $mysqli->query($query) and mysqli_num_rows($result) > 0) {

    while ($row = $result->fetch_assoc()) {
        $price = $row["listing_price"];
        $name = $row["listing_name"];
        $seller = $row["listing_seller"];
        $picture = $row["listing_picture"];

...

标签： phpsqlsearch