$sql = sprintf("select count(*) as qty from t_user where f_uid='%s' and f_password='%s'",$password,$userAccount);
这句话能挡住SQL注入吗?
回复讨论(解决方案)
不能,SQL注入的关键在于引号,而sprintf()不会去处理引号。
$sql = sprintf("select count(*) as qty from t_user where f_uid='%s' and f_password='%s'",$password,$userAccount);
不能,SQL注入的关键在于引号,而sprintf()不会去处理引号。
本文是由用户编写整理,所有内容的版权归原作者所有。如果侵犯了您的权益,请联系我删除