谷歌搜索 PHP 教程一半以上含有 SQL 注入

在 Google 上搜索 php mysql 电子注册程序，搜索引擎返回了教程、操作方法及代码片段，然而其中绝大部分结果还存在有缺陷的数据库声明，例如下面这个有问题的：

// Don't do this!
mysqli_query("SELECT * FROM user WHERE id = '" . $_POST["user'] . "'");

下面的列出的返回结果是按照谷歌搜索的推荐顺序来的，其中剔除了一些无关文章跟付费专区内容。存在的问题有：

• SQL 查询的所有参数被分类转义
• 仅在绝对必要的情况下才转义传入的数据
• 作者尝试了一些转义，但发现漏洞
• 没有任何转义逻辑
  
  

笔者只是快速浏览了一下，就发现 30 个搜索结果中有 16 个含有 SQL 注入漏洞，而不少都是来自 SEO 优惠的胡编乱造。如果搜索者将这些代码包含在其编写的程序中，那么最后产生的程序将是不安全的。类似的安全问题已经存在多年。

参考链接：https://waritschlager.de/sqlinjections-in-google-results.html