(假设表中没有敏感/私密。)
到目前为止,我的代码只有几种类型的函数:mysqli_connect和SELECT查询。据我所知,没有用户输入,因此没有安全威胁,对吗?
$con = mysqli_connect("--", "--", "--", "--");
mysqli_query($con, "set names 'utf8'");
$result = mysqli_query($con,"SELECT * FROM documents");
while($row = mysqli_fetch_array($result)) {//display info in table}
现在更进一步。我正在使用$ _GET变量,可以由导航栏中的黑客编辑。
$id = $_GET['id'];
$result = mysqli_query($con,"SELECT * FROM document_$id");
while($row = mysqli_fetch_array($result)) {//display info in another table}
这里有安全威胁吗?如果是这样,我可以通过首先确保$ _GET ['id']是一个整数来消除威胁吗?