我听说sprintf()可以防止SQL注入.这是真的吗?如果是这样,怎么样?
sprintf()
为什么人们建议写这样的查询:
$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = %s AND COL2 = %s',$col1,$col2);
php mysql sql-injection
mysql ×1
php ×1
sql-injection ×1