我有一个页面来激活点击我发送给他们的电子邮件中的激活链接的用户,该电子邮件包含一个 url,该 url 使用 GET 方法将电子邮件地址发布到那里,我的代码如下但我问的是这是一个安全的方法或者有什么方法可以改进吗?谢谢
$username = $_GET['email'];
mysql_query("UPDATE users SET active = 'yes'
WHERE email = '$username'") or die('oops!');
echo "<meta http-equiv=\"refresh\" content=\"0;URL=/index.php?msg=active\">";
最佳答案
这不是激活电子邮件的最佳方法。任何人都可以使用假电子邮件注册并创建自己的 GET 请求来激活它。您应该改用无法猜测的唯一哈希。此外,您需要使用 mysql_real_escape_string 转义您的 SQL 语句。
关于php - 安全的 PHP 查询?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6389682/