PHP защита параметров GET

OK рассмотрим этот url:

example.com/single.php?id=21424

Это довольно очевидно для вас и меня, что PHP собирается взять идентификатор и запустить его через запрос mysql, чтобы получить 1 запись, чтобы отобразить ее на странице.

есть ли в любом случае какой-то вредоносный хакер может испортить этот url-адрес и создать угрозу безопасности для моего приложения/MySQL DB?

спасибо

3 ответов


конечно, никогда никогда не считайте запись пользователя (_GET, _POST, _COOKIE и т. д.) безопасной.

используйте функцию PHP mysql_real_escape_string для очистки ваших переменных:http://php.net/manual/en/function.mysql-real-escape-string.php

о SQL-инъекциях:http://en.wikipedia.org/wiki/SQL_injection


все зависит от фильтрации вы явно (с filter_var() например) или implictely (с помощью подготовленных инструкций например) использовать.


Ну есть SQL инъекции http://en.wikipedia.org/wiki/SQL_injection