据我所知,当 PHP 应用程序需要用户在网页表单上输入以发送到 $POST 或 $GET 或 $REQUEST 等变量时,它们很容易发生 SQL 注入。这是否意味着如果我的应用程序/htmlpage 没有用户输入表单,它就完全没有 SQL 注入?
问问题
36 次
1 回答
1
不,任何用户输入都可能导致 SQL 注入。例如,假设您使用查询字符串中的参数执行 SQL 查询。如果您没有清理这些参数,您仍然容易受到 SQL 注入的影响。
您能做的最好的事情就是永远不要相信用户输入并始终清理
为了防止 SQL 注入,请使用准备好的语句和参数化查询
见: http: //php.net/manual/en/book.pdo.php
于 2013-04-16T22:22:29.930 回答