摘要： 默认都是打开的,我们提交的很多字符都会被转义,所以把要查询的变量用单引号包括起来是非常正确的做法,以前很多程序这样写:select * form article where id = $id;这样我们后面可以直接跟union，当然你的mysql版本要支持，现在这种情况几乎不存在了，所以PHP的注入是非常困难的．今天在一个安全公告看到了一个PHP注入漏洞报着怀疑的态度去看代码，这种写法第一次见，但是原理一样，记录之～ 阅读全文