gpt4 book ai didi

php - 在运行 MySQL 之前验证 PHP 中的变量?

转载 作者:太空宇宙 更新时间:2023-11-03 12:29:49 25 4
gpt4 key购买 nike

我知道这个问题已被问过一百万次,但今天(2013 年)在 SQL 语句中运行变量之前验证查询字符串的标准是什么?

例如,如果我通过 $_GET['id'] 从 url 接收到变量“id”:

$id = $_GET['id'];

...在运行之前我应该​​做什么:

SELECT * FROM users WHERE id="$id"

这样够了吗

$id = mysql_real_escape_string($_GET['id']);

...对于这个具体的例子?

最佳答案

这是无关紧要的,因为在大多数常规情况下 id 是一个整数。你必须使用:

$id = (int)$_GET['id'];

现在的标准方法是使用在 MySQLi 和 PDO 的库中表示的参数化查询/准备语句。

对于任何手动验证,您需要明智地考虑您希望收到此变量的内容。

在这种情况下,您只需要整数,没有别的。您不需要人们通过 ID -> 1 UNION SELECT ... 发送它仍然是一个有效的字符串,并且 mysql_real_escape_string 不会对其执行任何操作。

关于php - 在运行 MySQL 之前验证 PHP 中的变量?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16020089/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com