我想保护用户输入,如果是文字输入,我们只需使用filter_input和mysql_real_escape_string。
我的问题是:当变量来自选择框时,我是否必须使用它们?某些狡猾的用户是否可以从浏览器更改POST值?
我的选择框是从数据库动态填充的。我是否仍需要将接收到的数据(提交后)与数据库进行比较,并使用mysql_real_escape_string来确保安全?
答案 0 :(得分:3)
当然,您需要始终确认从客户端获得的所有数据。
答案 1 :(得分:2)
是的,有人可以更改任何表单元素的输入。像firefox中的FireBug一样容易让我改变网页客户端副本上的任何源代码,并提交包含我更改数据的表单。
答案 2 :(得分:0)
您不能信任来自用户的任何。假设用户发送给你的一切都是邪恶的。你需要逃避一切,甚至更好地使用准备好的语句/参数化查询。
答案 3 :(得分:0)
如果您需要安全网站,则需要验证每个输入。 您需要检查选择框字段是否与担保人的数据库值匹配。