好的,请考虑这个网址:
example.com/single.php?id=21424
对你和我来说很明显,PHP将获取id并通过mysql查询运行它以检索1条记录以在页面上显示它。
无论如何,有些恶意黑客会弄乱这个网址并对我的应用程序/ mysql数据库构成安全威胁吗?由于
答案 0 :(得分:9)
当然,永远不要将用户条目(_GET,_POST,_COOKIE等)视为安全。
使用mysql_real_escape_string php函数来清理变量:http://php.net/manual/en/function.mysql-real-escape-string.php
答案 1 :(得分:2)
全部取决于您明确过滤(例如使用filter_var())或隐式(通过使用预准备语句)使用。
答案 2 :(得分:1)