标签: sql forms
据我所知,PHP应用程序在需要用户输入网页表单以发送到$ POST或$ GET或$ REQUEST等变量时,容易进行SQL注入。这是否意味着如果我的application / htmlpage没有用户输入表单,它完全没有SQL注入?
答案 0 :(得分:1)
不,任何用户输入都可能导致SQL注入。比如说,例如,您使用查询字符串中的参数执行SQL查询。如果您尚未清理这些参数,则仍然容易进行SQL注入。
您可以做的最好的事情是从不信任用户输入并始终清理
为防止SQL注入使用预准备语句和参数化查询
请参阅:http://php.net/manual/en/book.pdo.php