我正在开发一个网站,我正在努力保护连接部分.
我在$login上使用了addslashes函数来停止sql注入,但有些朋友告诉我安全性不够.但是,他们没有告诉我如何利用此漏洞.
我怎么能/你能破坏这段代码?
我该如何保护它?
<?PHP if ( isset($_POST) && (!empty($_POST['login'])) && (!empty($_POST['password'])) ) { extract($_POST); $sql = "SELECT pseudo,sex,city,pwd FROM auth WHERE pseudo = '".addslashes($login)."'"; $req = MysqL_query($sql) or die('Erreur sql'); if (MysqL_num_rows($req) > 0) { $data = MysqL_fetch_assoc($req); if ($password == $data['pwd']) { $loginOK = true; } } } ?>