本文介绍了一个常见的PHP编程错误,即直接将变量拼接到SQL语句中导致的语法错误及潜在的安全风险。通过一个简单的示例说明了如何正确地将变量作为字符串处理,以避免SQL语法错误,并强调了使用字符串引用来防止SQL注入的重要性。
先上代码(php):
$id_card="";
$sql = "select * from people where id_card=".$id_card;
看似有值,但是这个sql是这样的:
select * from people where id_card=
当然会语法错误。
这时候要把$id_card当作字符串处理:
$sql = "select * from people where id_card= ' ".$id_card." ' "; (多余空格自行删除)
转载于:https://www.cnblogs.com/alanleung/p/7411925.html
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
