使用html表单post提交致使php修改表数据 [ 修正sql注入 ] [例03]

修正的重点：

    $sname=addslashes($_POST[\'sname\']);
    $yy=addslashes($_POST[\'yy\']);
    $id=$_POST[\'id\'] 0;

html表单代码：

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
    <html xmlns="http://www.w3.org/1999/xhtml">
    <head>
    <title>新建网页</title>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <meta name="description" content="布尔教育 http://www.itbool.com" />
    </head>
        <body>
            
            <form action="mysql04.ph.p" method="post">
                学生id：<input type="text" name="id" /></br>
                新姓名：<input type="text" name="sname" /></br>
                新YY：<input type="text" name="yy" /></br>
                <input type="submit" value="修改 提交" />
            </form>
        </body>
    </html>

修正后的php数据库代码：

#号后面备注是掉了。。。

会导致用户成管理员看下图：groupid=\'1\' 有的网站是管理员的意思

2. 修正sql注入以后得到如下结果：

这个错误是传的sname太长，数据库已经不认识了

多了一个单引号，这是不可避免的、、、