首先：我不确定我是否理解您的查询，但我假设您的意思是：我如何影响外部数据（这些查询所涉及的表）？

最明显的攻击是插入多个查询，即“；从 other_table 中删除”，但在这种情况下，您似乎不能这样做。mysql_query() 发送唯一查询（不支持多个查询）

这意味着您会遇到副作用 - 在原始查询中执行操作。看起来至少你可以用锁破坏： http://dev.mysql.com/doc/refman/5.0/en/innodb-locking-reads.html 特别是，你应该能够做出选择的一个'选择...进行更新';

我还看不到另一种方式来影响您的特定查询。

我一直在玩这个，我还没有找到任何方法来做你所说的。比我聪明的人可能会想办法做到这一点，但据我所知，这是不可能的。

使用 PHP 数据对象进行数据访问层查询要好得多。这将完全消除 SQL 注入；更不用说您可能还想与称为 OWASP 的网站组建立友好关系。

例子：

// 声明和设置变量

列表 ($db_dbdriver, $db_hostname, $db_database, $db_username, $db_password) = Connection::dbConnect();
// 设置默认时区

date_default_timezone_set('America/Los_Angeles'); $my_success = 假；$my_message = "";

尝试 {

// 创建和设置连接

$db_options = array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES 'UTF8'");

$conn = new PDO($db_dbdriver . ":host=" . $db_hostname . ";dbname=" . $db_database, $db_username, $db_password, $db_options);

$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

//准备一条SQL语句

$my_sql = '插入消息（Message_State，Message_Body，Message_CBy，Message_EBy）值（：Message_State，：Message_Body，：Message_CBy，：Message_EBy）'；

$stmt = $conn->prepare($my_sql); // 绑定参数以防止 SQL 注入。

$stmt->bindValue(':Message_State', $message_state);

$stmt->bindValue(':Message_Body', $message_body);

$stmt->bindValue(':Message_CBy', $message_cby);

$stmt->bindValue(':Message_EBy', $message_eby);

// 执行 SQL 语句

$stmt->执行（）；

// 关闭游标，使语句能够再次执行

$stmt->closeCursor();

// 关闭和取消连接

$conn = 空；未设置（$conn）；

// 将成功值设置为 TRUE

$my_success = 真；$my_message = "成功";

} 捕捉（PDOException $e）{

// 捕捉错误信息

$error_message = $e->getMessage();

// 将错误消息附加到错误日志

file_put_contents('../../log/error/php_errors.log', "\r\n" . date("Ymd h:i:s A") . ": data_access_layer -> my_class.php (class_name) - > Function_Name : " . $e->getMessage(), FILE_APPEND);

// 将成功值设置为 FALSE 并返回错误消息

$my_success = 假；$my_message = $error_message;

}

返回数组（$my_success，$my_message）；