<?PHP $id = intval($_GET['id']); $sql = MysqL_query("SELECT username FROM users WHERE id = $id"); $row = MysqL_fetch_assoc($sql); $user = htmlspecialchars($row['username']); ?> <h1>User:<?PHP echo $user ?></h1>
您能否在上述代码中看到任何威胁?我必须在输出的所有内容上使用htmlspecialchars吗?我应该使用is_numeric或intval来检查get是否为数字?
解决方法
一般来说
mysql_real_escape_string()是首选,但因为它是一个数字,intval()就可以了.所以是的,从安全角度看它看起来不错.
但有一点,在许多平台上,整数限制为32位,所以如果你想处理大于21亿的数字,那么它将无法工作.好吧,无论如何,它都不会起作用.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
