沒有處理用戶輸入
這或者可以這樣說#1:永遠(yuǎn)不要相信用戶的輸入。用服務(wù)器端的PHP驗(yàn)證每個(gè)字符串,不要寄希望與JavaScript。最簡單的SQL注入攻擊會(huì)利用如下的代碼:
1 | $username = $_POST["name"]; |
2 | $password = $_POST["password"]; |
3 | $sql = "SELECT userid FROM usertable WHERE username='$username' AND password='$password';"; |
4 | // run query... |
