这个 GET 对 SQL 注入安全吗？ [复制]答案

【问题标题】：Is this GET secure to SQL Injection? [duplicate]这个 GET 对 SQL 注入安全吗？ [复制]
【发布时间】：2016-12-26 19:17:17
【问题描述】：

我正在开发一个网站，我在问这个小代码是否容易受到 SQL 注入的攻击或者它是否安全：

$param1 = $_GET['param1'];
$sql_news="select * from table1 where attr1 = '$param1'";

我可以保持平静吗？

谢谢

【问题讨论】：

非常不安全。
不。 stackoverflow.com/questions/601300/what-is-sql-injection , stackoverflow.com/questions/60174/…
php.net/manual/en/security.database.sql-injection.php
您粘贴的代码存在sql漏洞...
如果你想知道它是否易受攻击，你只需要了解什么是 sql 注入。

【解决方案1】：

不，有人可以将$param1 设置为例如' OR '1'='1，这将返回表格的完整内容。

【讨论】：

感谢您的回复...我知道这个漏洞，但它不影响这个参数，我不知道为什么..有可能吗？
Ops 对不起 .. 我真是太愚蠢了，我现在明白为什么它不起作用了 .. 对不起，伙计 .. 我能问你 addlash() 现在是否易受攻击吗？不知道多字节漏洞有没有修复
即使使用了 addlash，它仍然很容易受到攻击。最好的解决方案是使用准备好的语句 - w3schools.com/php/php_mysql_prepared_statements.asp