我想用我的Get变量的内容查询我的数据库,然后检索匹配的url并将匹配的url放入变量中,这是最好和最安全的方法吗?
答案 0 :(得分:1)
最好和最安全的方法是清理用户插入的任何值,以防止SQL INJECTION和使用prepared statements。我个人使用PDO一个库,以一种干净,安全的方式处理数据连接和准备好的语句。
优于GET,使用POST方法发送和检索用户数据。
将PHP sanitization filters视为干净的用户发送值的预先但不是唯一的方式。
这是一个安全查询应如何显示的示例:
首次消毒:
$user_login=filter_var($_GET['user_login'], FILTER_SANITIZE_EMAIL);
然后查询:
$query_login=$dbh->prepare("SELECT user_id, user_status FROM usr.view_user_validation WHERE user_email=?;");
$query_login->execute(array($user_login));