我是这样做的
主要是这个英文半角空格替换成中文全角空格,不管三七二十一,全替换。这样是不是可以防止sql的注入
回复讨论(解决方案)
要真正防注入单靠过滤参数是没什么用的,做好预定义和绑定参数,从根本上杜绝sql注入问题
直接使用 pdo的prepare来过滤就可以了。
参考:
http://blog.csdn.net/fdipzone/article/details/22330345
A programmer’s note boke for work and life
我是这样做的
主要是这个英文半角空格替换成中文全角空格,不管三七二十一,全替换。这样是不是可以防止sql的注入
回复讨论(解决方案)
要真正防注入单靠过滤参数是没什么用的,做好预定义和绑定参数,从根本上杜绝sql注入问题
直接使用 pdo的prepare来过滤就可以了。
参考:
http://blog.csdn.net/fdipzone/article/details/22330345