确定考虑这个网址:
example.com/single.php?id=21424
对于您和我来说,很明显 PHP 将获取 ID 并通过 mysql 查询运行它以检索 1 条记录以将其显示在页面上。
是否有一些恶意黑客可能会破坏此 url 并对我的应用程序/mysql 数据库构成安全威胁?
谢谢
最佳答案
当然,永远不要认为用户输入(_GET、_POST、_COOKIE 等)是安全的。
使用 mysql_real_escape_string php 函数清理变量:http://php.net/manual/en/function.mysql-real-escape-string.php
关于 SQL 注入(inject):http://en.wikipedia.org/wiki/SQL_injection
关于PHP对GET参数的保护,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5089549/