php – 我还需要使用准备好的声明

参见英文答案 > Do I have to guard against SQL injection if I used a dropdown?11个
使用PHP和MySQLi我有一个简单的表单,有4个HTML 5下拉选择列表输入.现在想知道我还需要使用Prepared Statement来保护我的数据库吗？我还有SQL注入问题的风险吗？或者是否存在使用此类输入的任何其他类型的风险.谢谢 由于通过选择框插入的值很容易被最终用户修改,因此您仍然可以进行注入攻击.

如果你有一个很好的验证服务器端,那么在没有预备语句的情况下这样做会有效.

好的我的意思是这样的：

$array = Array("all","your","possible","values","from","Select boxes");
if(in_array ($_POST['selectbox'],$array)){
      //Mysql statements etc....
}

直接插入用户输入绝对不是一个好主意.你永远不应该相信最终用户！

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!