在这种情况下受到SQL注入攻击的风险有吗?

时间:2018-07-03 01:03:07

标签: mysql sql sql-injection

我有一个html文件,其中包含一个提交表单,该表单要求用户填写其个人信息。

enter image description here

然后它将通过PHP SQL的方法发布并存储到数据库中。

 // Check input errors before inserting in database
if (empty($CName_err) && empty($Address_err) && empty($amount_err) && empty($Phone_err)) {
    // Prepare an insert statement
    $pdo = Database::connect();
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    $sql = "INSERT INTO database (CName, Address, Phone, Amount ,Ticket, Purpose) VALUES (?, ?, ?, ? ,?, ?)";

    $q = $pdo->prepare($sql);
    $q->execute(array($CName, $Address, $Phone, $amount ,$Ticket ,$Purpose));
    Database::disconnect();

因此,在这种情况下有遭受SQL注入攻击的风险吗?

我该怎么做才能改善编码?

0 个答案:

没有答案
相关问题
最新问题