随着所有关于SQL注入的讨论...我有点担心何时需要保护URL变量。是否有必要保护不会在数据库中使用但仅在代码中使用的变量,或者仍然可以注入恶意内容。例如:
<?php
$format = $_GET['format'];
//other potentially vulnerable code? (no SQL)
echo date($format);
?>
这是否需要额外的安全性,还是在没有必要的情况下呢?如果后者是真的,那么应该知道什么才能知道保护变量?
作为一个完整的附注并不完全值得它自己的问题线程... =&gt;之间有什么区别?和 - &gt; ?