我在prestashop论坛上看到函数Tools::getValue()没有逃避sql注入。现在我想知道当我想获取字符串或int值时如何从sql注入中阻止此函数?
有人能告诉我一些例子吗?
答案 0 :(得分:9)
Tools::getValue()仅检索POST或GET值。
为了防止SQL注入,您可以使用pSQL()函数或int值,您可以进行类型转换。
$int_val = (int)Tools::getValue('someValue');
$string_val = pSQL(Tools::getValue('someValue'));