我正在创建一个基本博客,并使用以下代码。从网址安全获取ID
它从网址收集id(总是一个数字),在我使用之前,我想知道是否有人可以检查代码的安全性,并让我知道它的好吗?
我真的不想要任何注射等,我想尽可能保证它的安全。
<?php
if(is_numeric($_GET['id']) && $_GET['id'] > 0){
include("connectionfile.php");
$ia = intval($_GET['id']);
$ib = mysql_real_escape_string($ia);
$ic = strip_tags($ib);
$qProfile = "SELECT * FROM #### WHERE id='$ic' ";
$rsProfile = mysql_query($qProfile);
$row = mysql_fetch_array($rsProfile);
extract($row);
$title = trim($title);
$post = trim($post);
$date = trim($date);
mysql_close();
}else{
echo 'hack error here';
}
?>
[codereview.stackexchange.com(http://codereview.stackexchange.com/)。而且,'mysql_ *'函数已被弃用,以支持PDO或MySQLi扩展。 – Bojangles
感谢大家的帮助,任何人都可以举一个PDO的例子来做与上面相同的事情吗? – user1657967