有人告诉我我的查询易于进行SQL注入。
get_stats = mysql_query("SELECT * FROM visitors WHERE site='$_GET[site]' AND date BETWEEN '$start_date' AND '$end_date' ");
解决这个问题的最简单方法是什么?您还可以进一步了解注射剂吗?(我可能会在Google上错过的东西)。谢谢!
使用准备好的语句。
在大多数情况下,Prepared Statements可以安全地将查询与参数组合在一起。
