我希望我的网站允许用户使用下拉菜单来过滤 MySQL 提供的数据列表。下拉菜单中的选项按以下方式使用:
$pulldown_choice = _GET['pulldown_choice'];
..... #other codes here
$sql = "SELECT * FROM tablename WHERE item LIKE '%$pulldown_choice%';
我的问题是:我是否需要担心预定义的下拉列表选项中的数据库注入(inject)?谢谢!
最佳答案
有人可能会修改请求并使用 ...?pulldown_choice=WHATEVER_YOU_WANT
手动调用 URL(例如 *
)。
我可能只会传递一个索引并修复服务器端的选项。
关于mysql - 下拉菜单是否存在MySQL注入(inject)风险,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31497318/