与我一起工作的团队习惯于在SQL中转义ID和整数,如下所示:
$var = $var + 0;
$sql = "SELECT * FROM whatever WHERE id = $var";
这是防止 PHP 中 SQL 注入的可接受方法,还是易受攻击?
不,这不是一种预防方式。使用 PHP PDO。阅读以下内容: https://www.w3schools.com/php/php_mysql_connect.asp