我的代码必须通过安全检查,但这不是因为存在SQL注入风险。他们要求我使用我以为已经使用过的参数,所以现在我想知道如何使我的代码更好?
$imgId = $_POST["imgId"];
$stmt = $link->prepare("SELECT * FROM my_table WHERE image_id = ?");
$stmt->bind_param("s", $imgId);
$stmt->execute();
$result = $stmt->get_result();
$stmt->close();
这是我的sql语句之一,每个结构都像这样。
所以我的问题首先是我的代码容易受到sql注入攻击,其次我如何使其更安全?
答案 0 :(得分:0)
如果您知道预期的输入内容,则应该在IDimg上尝试使用正则表达式,并对其进行预匹配