我试图让我的sql插入函数更安全,当时它说插入$ _SESSION [' user_id']作为from_user_id,但我也注意到用户可以破解这个和将from_user_id设置为0或NULL,我想添加一个条件,基本上说插入$ session [' user_id']到from_user_id但不允许from_user_id为NULL,否则不插入并给出错误:
$sql = "INSERT INTO ptb_wallposts (id, from_user_id, to_user_id, content) VALUES (NULL, '".$_SESSION['user_id']."', '".$profile_id."', '".$content."');";
mysql_query($sql, $connection);
答案 0 :(得分:0)
您也可以将数据库字段设置为NOT NULL。