我被告知我抓取帖子的方式,然后将其传递给查询以便可以存储它是非常不安全的,并且不安全,我想知道我可以加强它的方法。我对此非常了解,所以请耐心等待。
$course_price_final = $_POST['priceFinal'];
$course_provider = $_POST['courseProvider'];
$user_email = $_POST['userEmail'];
$crs_title = $_POST['courseTitle'];
$course_date1 = $_POST['courseDate'];
$course_token = $_POST['courseToken'];
$card_name = $_POST['cardName'];
$course_delivery = $_POST['courseDelivery'];
$order_date = date("Y-m-d");
$insert_c = "insert into orders (course_title,course_price_final,course_provider,user_email,course_date,course_delivery,order_date,course_token)
values ('$crs_title','$course_price_final','$course_provider','$user_email','$course_date1','$course_delivery','$order_date','$course_token')";
$run_c = mysqli_query($con, $insert_c);
答案 0 :(得分:1)
最简单的事情 - 在每个帖子上使用mysqli::real_escape_string($_POST['whatever'])。
最好的事情 - 使用prepared statements。
http://php.net/manual/en/mysqli.quickstart.prepared-statements.php