str_replace替换sql 中的 update 这种做法本身就是错误的, 原因如下:
如果sql中本来就有update字段,如以下的sql
代码如下 复制代码
$sql = update content = 'update your name ..' where userid=1
那么,你用str_replace替换的后果是什么? 只要用户提交的内容中包含有update,
delete, alter均被篡改?这是多么可怕的事!!!
那么正确的办法是什么呢?
代码如下 复制代码
$content = mysql教程_real_escape_string($content);
$sql = update content = '$content' where userid=1