下拉菜单是否存在MySQL注入的风险

时间:2015-07-19 02:05:16

标签: mysql sql-injection

我希望我的网站允许用户使用下拉菜单来过滤MySQL提供的数据列表。下拉菜单中的选项按以下方式使用:

$pulldown_choice = _GET['pulldown_choice'];
..... #other codes here
$sql = "SELECT * FROM tablename WHERE item LIKE '%$pulldown_choice%';

我的问题是:我是否需要担心来自预定义的下拉列表选项的数据库注入?谢谢!

1 个答案:

答案 0 :(得分:1)

有人可能会修改请求,并使用Request focus手动调用网址(例如...?pulldown_choice=WHATEVER_YOU_WANT)。

我可能只会传递索引并修复服务器端的选项。