因此,在此功能中,我正在从数据库中获取产品代码。我使用Sanitize String来使用某种形式的保护。我所有的功能都基于这一功能。是绝对有必要将我的函数重写为PDO,还是清理字符串足以保护我?预先感谢。
function getCode($con)
{
$productID = filter_input(INPUT_POST, "productClick",
FILTER_SANITIZE_STRING);
$sql = "SELECT StockItemID
FROM stockitemholdings
WHERE StockItemID = '$productID'
";
$result = $con->query($sql);
if ($con && ($result->num_rows > 0)) {
// output data of each row
$row = $result->fetch_assoc();
echo $row["StockItemID"];
} else {
echo "error";
}
}