PHP защита параметров GET
OK рассмотрим этот url:
example.com/single.php?id=21424
Это довольно очевидно для вас и меня, что PHP собирается взять идентификатор и запустить его через запрос mysql, чтобы получить 1 запись, чтобы отобразить ее на странице.
есть ли в любом случае какой-то вредоносный хакер может испортить этот url-адрес и создать угрозу безопасности для моего приложения/MySQL DB?
спасибо
3 ответов
конечно, никогда никогда не считайте запись пользователя (_GET, _POST, _COOKIE и т. д.) безопасной.
используйте функцию PHP mysql_real_escape_string для очистки ваших переменных:http://php.net/manual/en/function.mysql-real-escape-string.php
о SQL-инъекциях:http://en.wikipedia.org/wiki/SQL_injection
все зависит от фильтрации вы явно (с filter_var()
например) или implictely (с помощью подготовленных инструкций например) использовать.