PHP之SQL注入
/转义用户数据,纺织sql注入
public function escaprString($data){
return mysqli_real_escape_string($data,self::$link);
}
$admin_name_escape=$this->_dao->escaprString($admin_name);//调用方法,得到转义的字符串
$admin_pass_escape=$this->_dao->escaprString($admin_pass);
$sql="select *from info where admin_name=$admin_name_escape and admin_pass=$admin_pass_escape";
$row=$this->_dao->getRow($sql);
魔术引号即将淘汰;
在这里返回值前后都加上单引号,这样在SQL语句中就不用加单引号了;