※ 引述《foxzgerald (O⊥M)》之銘言： : 另外. $sql 字串最好先脫序. 特別是這些查詢字串中的一些變數來自於使用者輸入 : ($_POST 或是 $_GET 之類的) .. 如果不先脫序. 很容易被 sql injection 攻擊 : 相關資訊請看 mysql-query 的第二個範例.或者 google :) 請問，所謂的脫序是不是泛指將$sql中的特殊符號(例如 ' ) 做註記處理 (變成\')。 使人無法透過url和表單中的變數去中斷並改變mysql_query($sql)的執行結果？ 透過mysql_escape_string就可以阻絕掉基本的sql injection嗎？ 另外，我還是看不太懂mysql_escape_string和mysql_real_escape_string的差異 是差別在mysql_real_escape_string可以引用參照字嗎？ 謝謝 :) -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.104.153.99