我正在尝试使用PHP函数轻松保存表单。
HTML看起来像:
<form action="" method="POST">
<input type="text" name="form[name]"/>
<input type="text" name="form[lastname]"/>
插入/更新数据库的功能包含类似
的功能$data = $_POST['form'];
foreach($data as $column => $value){
// Creating the SQL statement using $column & $value
}
该表将在php中传递,而不是通过HTML传递。
我是否应该害怕通过HTML传递列名?
答案 0 :(得分:1)
这有点危险,因为它为攻击者提供了准确的用途,但大多数时候这些字段非常标准,所以不像人们猜得太多......如果你确实有一个sql注射漏洞他们无论如何都能找到这些东西。
只要你使用预备语句(我更喜欢这种方法,还有其他方法)并验证输入你应该没问题。