最近看恶心代码太多了，也写了太多垃圾代码了……真是哦弥陀佛……感觉paperen变垃圾……

唉~~不多说了，直接开始正文算了。放代码，对比一下下面两个sql变量，然后入库查询，你觉得有问题么？

$id = isset($_GET['id']) ? $_GET['id'] : '';
if ($id) {
	$sql = 'select * from goods where id='.$id;
	echo $sql.'
';
	
	$r_1 = $db->select($sql);
	print_r($r_1);
	
	echo '----
';
	
	$sql = "select * from goods where id='$id'";
	echo $sql.'
';
	
	$r_2 = $db->select($sql);
	print_r($r_2);
	
	echo '----
';
}

表面上看上去都是可以的，当test.php?id=1时输出sql这个变量都是一样的，但是如果我随意改变一下这个id呢？改为test.php?id=1 or 1=1，你就会看到区别了。