万能密码x’ or ‘1 万能用户名 x’ or 1# 密码加密md5,用户名让单引号失效,可以将其转义,通常有2种 php提供的addslashes()函数 mysql扩展提供的mysql\_real\_escape\_string()函数 ?p=admin&c=category&a=delete&cat\_id=7 or 1这样会全删除 需要将id后面的转为整形:强制转换,(int)变量,使用intval()函数 隐士转换,让其参与运算,用+ 可以+0 用户输入是不可信的:对html标签进行转义,在php中,有两个函数可以完成这个功能 htmlspecialchars()函数 htmlentities()函数 在javascript里边可以通过encodeURIComponent ()对特殊符号等信息进行编码。 增加sql语句执行日志,和sql相关的sql语句可以把他写到日志文件 file\_put\_contents()将sql语句写到日志文件中。PHP\_EOL:换行符 常量 $str="\[".date("Y-m-d H:i:s")."\]".$sql.PHP\_EOL; file\_put\_contents("log.txt",$str,FILE\_APPEND);