Php 没有人问你对周围引语的看法，因为它们在示例中使用。当然，没有引号是行不通的。这是显而易见的哇，如果在我指出这个特定的sql注入漏洞之后你没有看到它，那么你就有比我更大的问题了。忘记magic_quotes，它甚至没有增加一点安全性…@knittl它确实阻止_Php_Mysql_Security_Sql Injection

Php 没有人问你对周围引语的看法，因为它们在示例中使用。当然，没有引号是行不通的。这是显而易见的哇，如果在我指出这个特定的sql注入漏洞之后你没有看到它，那么你就有比我更大的问题了。忘记magic_quotes，它甚至没有增加一点安全性…@knittl它确实阻止

php mysql security

Php 没有人问你对周围引语的看法，因为它们在示例中使用。当然，没有引号是行不通的。这是显而易见的哇，如果在我指出这个特定的sql注入漏洞之后你没有看到它，那么你就有比我更大的问题了。忘记magic_quotes，它甚至没有增加一点安全性…@knittl它确实阻止,php,mysql,security,sql-injection,Php,Mysql,Security,Sql Injection,没有人问你对周围引语的看法，因为它们在示例中使用。当然，没有引号是行不通的。这是显而易见的哇，如果在我指出这个特定的sql注入漏洞之后你没有看到它，那么你就有比我更大的问题了。忘记magic_quotes，它甚至没有增加一点安全性…@knittl它确实阻止了一些sql注入和LFI/RFI攻击，但我同意，总体而言，这是危险的，因为程序员应该更清楚地意识到他正在设置的过滤器。一个很好的例子是sql注入vuln，它不是每个人都能看到的，但是如果你使用参数化查询，它不会成为问题。我没有给你-1，但是即使

没有人问你对周围引语的看法，因为它们在示例中使用。当然，没有引号是行不通的。这是显而易见的哇，如果在我指出这个特定的sql注入漏洞之后你没有看到它，那么你就有比我更大的问题了。忘记

magic_quotes

，它甚至没有增加一点安全性…@knittl它确实阻止了一些sql注入和LFI/RFI攻击，但我同意，总体而言，这是危险的，因为程序员应该更清楚地意识到他正在设置的过滤器。一个很好的例子是sql注入vuln，它不是每个人都能看到的，但是如果你使用参数化查询，它不会成为问题。我没有给你-1，但是即使他确实运行了$POST['username']，尽管addslashes或msyql\u real\u escape\u string，它仍然很脆弱，因为变量不在引号中。

mysql_query('INSERT INTO users (password, username) VALUES(' . sha1($_POST['password']) . ',' . $_POST['username'] . '));

INSERT INTO user (password, username) VALUES (abc1234fg00000, admin);

"SELECT 1 
FROM users
WHERE username='" . $_POST['username'] . "'
AND password='" . sha1($_POST['username'] . "';";