स्प्रिंटफ आपकी रक्षा नहीं करेगा! यह केवल %s
. को प्रतिस्थापित करता है
आपको mysql_real_escape_string अवश्य करना चाहिए:
$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = "%s" AND COL2 = "%s"',
mysql_real_escape_string($col1),
mysql_real_escape_string($col2));
सुरक्षित इंजेक्शन है
नोट:मेरा सुझाव है कि आप PDO पर एक नज़र डालें। , यह वही है जो मैं DBconections और प्रश्नों के लिए उपयोग करना पसंद करता हूँ