在PHP编码的时候，如果考虑到一些比较基本的安全问题，首先一点： 1. 初始化你的变量 为什么这么说呢？我们看下面的代码： 以下为引用的内容： if ($admin) { echo '登陆成功！'; include('admin.php'); } else { echo '你不是管理员，无法进行管理！'; } 好，我们看上面的代码好像是能正常运行，没有问题，那么加入我提交一个非法的参数过去呢，那么效果会如何呢？比如我们的这个页是 http://www.traget.com/login.php，

任何动态的执行SQL都有注入的风险，因为动态意味着不重用执行计划，而如果不重用执行计划的话，那么就基本上无法保证你写的SQL所表示的意思就是你要表达的意思。很多人都知道SQL注入，也知道SQL参数化查询可以防止SQL注入，可为什么能防止注入却并不是很多人都知道的。本文主要讲述的是这个问题，也许你在部分文章中看到过这块内容，当然了看看也无妨。首先：我们要了解SQL收到一个指令后所做的事情：具体细节可以查看文章：SqlServer编译、重编译与执行计划重用原理在这里，我简单的表示为：收到指令->

任何动态的执行SQL都有注入的风险，因为动态意味着不重用执行计划，而如果不重用执行计划的话，那么就基本上无法保证你写的SQL所表示的意思就是你要表达的意思。很多人都知道SQL注入，也知道SQL参数化查询可以防止SQL注入，可为什么能防止注入却并不是很多人都知道的。本文主要讲述的是这个问题，也许你在部分文章中看到过这块内容，当然了看看也无妨。首先：我们要了解SQL收到一个指令后所做的事情：具体细节可以查看文章：SqlServer编译、重编译与执行计划重用原理在这里，我简单的表示为：收到指令->