来帮我看看这个代码 是否存在sql注入

phpxuexizhe

来帮我看看这个代码 是否存在sql注入 并且如何防范 谢谢大家

PHP复制代码

//获得该艺人是否被登录人关注过
 public function get_is_attent($login_userid,$userid)
 {
  $sql = "SELECT COUNT(*) as isattent
  FROM fav fv
  WHERE 1
  AND fv.showernumber = '$userid'
  AND fv.userid='$login_userid'
  ";
   //return $this->db->query($sql)->row_array();
  var_dump($sql);
}
 

复制代码

nooneisthere123

有，直接把变量放到语句 里都有危险，要用 他的类方法比较安全

小刘

public function get_is_attent($login_userid,$userid)
{
//--------------------------如果两个都是int类型，加上
$login_userid=intval($login_userid);
$userid=intval($userid);



  $sql = "SELECT COUNT(*) as isattent
  FROM fav fv
  WHERE 1
  AND fv.showernumber = '$userid'
  AND fv.userid='$login_userid'
  ";
   //return $this->db->query($sql)->row_array();
  var_dump($sql);
}

beaton

同意楼上的，如果是字符串 则 addslashes()

幸福糖

恩 对于这个 mysql_real_escape_string来进行sql 安全转义。