原理:通过拼sql语句,在输入框里输入' ; SHOW TABLES;注入这样的代码,
防范:你把全部的特殊符号都过滤掉(如单引号,双引号),自然就不会被注入
使用mysql_real_escape_string()函数
在数据库操作的代码中用这个函数mysql_real_escape_string()可以将代码中特殊字符过滤掉,如引号等。如下例:
$t_username = str_replace(" ", "", $_POST['t_username']);
$t_username = mysql_real_escape_string($t_username);
$sql = "select t_passward from users where t_username='$t_username'";