OK考虑这个网址:PHP保护
example.com/single.php?id=21424
这是很明显的你和我的PHP是要采取的ID,并通过MySQL查询运行它来获取1条记录显示它在页面上。
反正有些恶意黑客可能会把这个URL搞砸了,并对我的应用程序/ mysql数据库构成安全威胁吗?
感谢
OK考虑这个网址:PHP保护
example.com/single.php?id=21424
这是很明显的你和我的PHP是要采取的ID,并通过MySQL查询运行它来获取1条记录显示它在页面上。
反正有些恶意黑客可能会把这个URL搞砸了,并对我的应用程序/ mysql数据库构成安全威胁吗?
感谢
当然,永远不考虑用户条目(_GET,_POST,_COOKIE,等)是安全的。
使用mysql_real_escape_string PHP函数来净化你的变量:http://php.net/manual/en/function.mysql-real-escape-string.php
所有依赖于过滤你明确的(与filter_var()
例如)或含蓄地(通过使用准备好的语句)使用。
http://stackoverflow.com/questions/601300/what-is-sql-injection – 2011-02-23 10:21:55
课程。任何人都可以写他们想要的。 – 2011-02-23 10:38:42
无论安全性如何,暴露数据库内部标识符也不是一个好的应用程序设计。数据库中的大多数对象都有一个名称或标题,如果可行,应该将其作为URL参数。 – mario 2011-02-23 10:55:38