使用PDO或者MySQLi,有很多封装好的方便的Class。 例如使用PHP-PDO-MySQL-Class · GitHub(这个Class使用上比较类似Python的MySQLdb)的话,这样就是安全的: <?php $DB->query("SELECT * FROM fruit WHERE name IN (?)",array($_GET['pm1'],$_GET['pm2'])); $DB->query("SELECT * FROM users WHERE name=? and password=?",array($_GET['name'],$_GET['pw'])); ?>
直接拼接字符串则是危险的: <?php $DB->query("SELECT * FROM fruit WHERE name IN ('".$_GET['pm1']."','".$_GET['pm2']."')"); $DB->query("SELECT * FROM users WHERE name='".$_GET['name']."' and password='".$_GET['pw']."'"); ?>