PHP能用sprintf函数来防止SQL注入吗?
$sql = sprintf("select count(*) as qty from t_user where f_uid='%s' and f_password='%s'",$password,$userAccount);这句话能挡住SQL注入吗? sql注入
[解决办法]
不能,SQL注入的关键在于引号,而sprintf()不会去处理引号。
发布时间: 2013-04-02 12:35:26 作者: rapoo
PHP能用sprintf函数来防止SQL注入吗?
$sql = sprintf("select count(*) as qty from t_user where f_uid='%s' and f_password='%s'",$password,$userAccount);