最后一段sql说没有过滤器导致可以sql注入,那怎么过滤呢
htmlspecialchars — 将特殊字符转换为 HTML 实体
strip_tags — 从字符串中去除 HTML 和 PHP 标记
mysql_escape_string — 转义一个字符串用于 mysql_query
mysql_real_escape_string — 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集
该函数自php5.5.0以后被废弃 被一下函数取代
addslashes — 使用反斜线引用字符串
* addslashes() 是强行加/;
* mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;
* mysql_escape_string不考虑连接的当前字符集。
此外还有strip_tags(),htmlspecialchar()等函数可以实现对输入参数过滤