php中单引号双引号区别以及注入问题

韩小末

php中单引号括起来的直接当做字符串来执行  

双引号括起来的先经过编译器执行后在输出  

实例  

PHP代码  
<?php      
$test1="aaa";      
$test2="bbb";      
echo ’$test1’;//单引号      
echo "<br>"     
echo "$test2";//双引号      
?>      
输出结果为      
$test1     
bbb     

所以在有的sql语句中  

select * from aa where username=’"$_GET[’username’]"’ and ....  

$_GET全局数组传过来的值要用双引号括起来，然后在外面要用单引号括起，因为是字符串  

对于数字型的  

select * from aa where username="$_GET[’userid]" and ....  

userid假设为数字型，所以$_GET传过来的值可以不加单引号，但是这里就出现了注入的危险  

可以构造sql语句执行危险命令，所以一般数字型的为了防注入也都用单引号括起来  

自己的小结