因此,我有这个工作代码来单击链接,以在输入文本框中的另一页上显示数据库的一行的详细信息。
<?php
foreach ($allCentrifuge as $list) {
$id = $list['id'];
?>
<tr>
<td><?php echo $list['experiment'] ?></td>
<td><?php echo $list['project_name'] ?></td>
<td><?php echo $list['project_date'] ?></td>
<td><a href="../Views/user_centrifuge.php?id=<?php echo $list['id']?>">Details</a></td>
</tr>
<?php
}
?>
此函数可获取那些详细信息:
public function fetchCentrifuge()
{
$uid = $_GET['id'];
try {
$stmt = $this->dbconn->prepare("SELECT * FROM centrifuge WHERE id = ?");
$stmt->execute(array($uid));
return $stmt->fetchAll();
}
因此,从我阅读的所有主题中显而易见,这对SQL注入很危险。但是,如何将这些代码与准备好的语句一起使用?我似乎无法将其与id占位符一起使用。
答案 0 :(得分:1)
看起来不错。您还可以将输入var强制转换为INT。
(int)$_GET['id'] or intval($_GET['id'])