微信号后面加个 2015

我还以为我浏览器有问题。。。

Node（至少大部分是）

认识的大神做的。

@est 非常抱歉，逻辑错误了。

还有就是才疏学浅，以为都是使用 sql 直接判断的。

@lincanbin 嗯，谢谢。这个我了解过。产品线上是使用mysqli类或者框架自身的参数绑定的方式。拼 sql 的方式几年前已经交过学费了，不过感觉学费还是交的不够。。。

@Daniel65536 这个我知道，一般账号也只允许字母或数字。而且分号会被mysql_real_escape_string过滤掉吧。

我的本意是若网站使用 SELECT count(*) FROM user WHERE username = '$username' AND password = '$password'; 这种方式的话“把你的密码设成 0x1234Ab，然后退出登录再登录，换密码 1193131 登录，如果登录成功，那么密码绝对是明文保存的没跑。”就不能说明网站是明文保存呀。

@evlos
@rwalle
@lincanbin
@66beta
@fashioncj
汗。。。求说清楚呀，我感觉我老板要开除我了。
肯定不直接拼sql，我也知道一点 sql 注入，但是一直浮于表面，求指点。
$password 拼 sql 之前肯定会 $password = sha1/md5($password+$salt) 。
账号（$username）的话一般有限制只能数字或者字母，然后自我安慰 mysql_real_escape_string() 一下（老感觉这个不靠谱）。
当然这样就只能提示账号或密码错误（不匹配）。

要看账号是不是存在，SELECT count(*) FROM user WHERE username = '$username'; 这样？看来账号也不能明文存。是不是可以可逆加密或者简单的 base64 编码一下。

@wangzhangup 这就不知道了，只是上次看见冷冷和 09 排了几盘，输了都很高兴。

@est 不是一般都数据库查询比较吗？SELECT count(*) FROM user WHERE username = '$username' AND password = '$password';

@wangzhangup 哈哈，不过冷冷不是要嫁给09吗？

其实还是平常敲代码很累（精力值下降），而打游戏更是要集中注意力，消耗精力，不然打输了了更心塞。还是看看主播们血崩比较开心。

上次就坑了一次。

所以现在不光是同步，还本地导出存一份。

只爱斗鱼看冷冷

int 还要设置值吗？直接 int(11)，设置啥都一样。

@iugo 看了楼主你的附言，哈哈，这是病得治呀。

其实我以前也这样，虽然说抠细节是很好，但会影响整个项目的进度，应当完成了90%的时候再回来抠细节。

代替语法在输出 HTML 页面上更加优雅，便于阅读，都是兼容的，也没有什么性能问题。
这有更多的介绍： http://codeigniter.org.cn/user_guide/general/alternative_php.html

当然，当你只写纯 PHP 时也用不上代替语法。

@icylogic 我也是那时候认证的。我们学校比较良性呀，换了QQ企业邮箱，感觉非常不错。

真是日了狗了，有些居然都快有屏幕那么大了。

@17chai 哈哈，来来来，发现是假冒的保证不打死你。

质量一定要好，贵点无所谓。