标签: php mysql security
我有此代码:
“SELECT * FROM colomn_name WHERE id = ‘$id’”
我可以知道这是否是从数据库获取ID的安全方法吗? 附言:我让FILTER_VAR确认ID为数字。
答案 0 :(得分:0)
一种更安全的方法是使用准备好的语句。这样做的原因是,尽管输入验证取决于用于确保输入正确的函数,但是准备好的语句将确保该语句和值不能混合使用,从而导致sql注入。过去,输入验证库存在多个问题,因此它不是一个完全安全的解决方案。您可以查看here了解更多信息。
答案 1 :(得分:-1)
如果您担心sql注入,那么可以。但是,您需要绝对确定id中仅包含数字。 看看here,了解许多其他提示。