我的问题非常简短,但还没有人问过。是否可以在这样的代码中进行SQL注入?:
$number = intval($_GET["number"];
mysqli_query($link, "Select Username FROM Users WHERE USER_ID = $number");
谢谢。
答案 0 :(得分:3)
感谢您使用intval()否,所以您没事。
但是:mysql_query()已被弃用(http://php.net/manual/en/function.mysql-query.php)。请考虑使用MySQLi或PDO_MySQL。
答案 1 :(得分:0)
不,因为intval总是只是一个数字。 (int)也是如此。