Мне все Еще Нужно Использовать Подготовленное Заявление [дубликат]
На этот вопрос уже есть ответ здесь:
Используя PHP и MySQLi, у меня есть простая форма с 4 HTML 5 выпадающими списками выбора. Теперь интересно, нужно ли мне все еще использовать подготовленную инструкцию для защиты моей базы данных? Я все еще подвергаюсь риску SQL-инъекции проблемы? Или существует ли какой-либо другой тип риска при использовании этого типа входных данных. Спасибо
1 answers
Вы все еще широко открыты для инъекционной атаки, так как значение, введенное в поле выбора, может быть легко изменено конечным пользователем.
Если у вас есть хорошая серверная часть проверки, то выполнение этого без подготовленной инструкции будет работать.
С хорошим я имею в виду что-то вроде этого:
$array = Array("all", "your", "possible", "values", "from", "Select boxes");
if(in_array ($_POST['selectbox'], $array)){
//Mysql statements etc....
}
Прямая вставка пользовательского ввода НИКОГДА не является хорошей идеей. Вы никогда не должны доверять конечному пользователю!