遇到一个简单漏洞(sql注入)

最近项目遇到一个问题,是关于sql注意的问题,一个同事,写sql是拼写的,我们有低层的pdo没有用,结果造 成了注入,代码如下:

/* *$sql = "update <DB.TABLE> set is_activated=1,client_id='',encrypt_pwd='',user_nick='{$nickname}',update_time={$update_time} where sdid = {$uid} ";$result = LibPDOEx::getPDO('user')->exec_with_prepare($sql, null);*/$set = array('is_activated' => 1,     'client_id' => '',     'encrypt_pwd' => '',     'user_nick' => $nickname,     'update_time' => $update_time);$where = " sdid={$uid} ";$result = LibPDOEx::getPDO('user')->update($set,$where);

这里nickname变量,没有处理,如果输入了7865'; --这样  -- 在mysql中,会自动忽略后面的语法,结果就成了 无条件的更新,所有的user_nick都一样了.

下次要多注意安全问题了!