我希望我的网站允许用户使用下拉菜单来过滤MySQL提供的数据列表。下拉菜单中的选项按以下方式使用:
$pulldown_choice = _GET['pulldown_choice'];
..... #other codes here
$sql = "SELECT * FROM tablename WHERE item LIKE '%$pulldown_choice%';
我的问题是:我是否需要担心来自预定义的下拉列表选项的数据库注入?谢谢!
答案 0 :(得分:1)
有人可能会修改请求,并使用Request focus手动调用网址(例如...?pulldown_choice=WHATEVER_YOU_WANT)。
我可能只会传递索引并修复服务器端的选项。