防空洞123

摘要： 原理：通过拼sql语句，在输入框里输入' ; SHOW TABLES;注入这样的代码，防范：你把全部的特殊符号都过滤掉（如单引号，双引号），自然就不会被注入使用mysql_real_escape_string()函数在数据库操作的代码中用这个函数mysql_real_escape_string()可以将代码中特殊字符过滤掉，如引号等。如下例：$t_username = str_replace(" ", "", $_POST['t_username']);$t_username = mysql_real_escape_string( 阅读全文