当 用户输入 的编码不正确时,就会发生sql注入攻击。典型地,所述用户输入是一些数据的用户和她的查询时,在值即发送$_GET
,$_POST
,$_COOKIE
,$_REQUEST
,或$_SERVER
阵列。但是,用户输入也可以来自各种其他来源,例如套接字,远程网站,文件等。因此,您应该 (例如'foobar'
)以外的 。
在您发布的代码中,mysql_real_escape_string
用于编码(=转义)用户输入。因此,该代码是正确的,即不允许任何sql注入攻击。
请注意,忘记打给您很容易MysqL_real_escape_string
-对于熟练的攻击者来说,一次就足够了!因此,您可能希望将现代的PDO与预准备语句一起使用,而不要使用adodb。