Существует много разговоров о том, как функции addlashes и mysql_real_escape небезопасны для предотвращения инъекций. Истина заключается в том, что даже большие рамки или CMS, такие как Wordpress, используют эти функции и до сих пор выполняют божественную работу.
Я знаю, что есть некоторые конкретные сценарии при использовании кодировки GBK, или utf8_decode может использоваться для ввода некоторого кода sql или некоторых простых примеров, таких как 1' OR 1 --
, которые могут использоваться, когда есть простой, где это связано.
Однако после небольшого исследования кажется, что очень сложно что-то вводить в простой запрос с помощью addlashes или mysql_real_escape, если кодировка UTF-8 и пусть признает это, это самый распространенный сценарий.
Итак, учитывая этот новичок script, pls предоставляют инсталляцию POC sql (помните кодировку UTF-8)
$mysql['username'] = addslashes($_POST['username']);
$mysql['password'] = addslashes($_POST['password']);
$sql = "SELECT *
FROM users
WHERE username = '{$mysql['username']}'
AND password = '{$mysql['password']}'";
Обновление - мне просто нужен простой пример, а не полное раскрытие процесса. Даже ссылка из Google может работать.