0

ユーザー入力を保護したいのですが、テキスト入力の場合は簡単に使用できfilter_inputますmysql_real_escape_string

私の質問は、変数が選択ボックスから来ているときにそれらを使用する必要がありますか?一部の巧妙なユーザーがブラウザからPOST値を変更することは可能ですか?

私の選択ボックスはデータベースから動的に入力されます。受信したデータ(送信後)をデータベースと比較し、mysql_real_escape_string安全のために使用する必要がありますか?

4

4 に答える 4

3

もちろん、クライアントから取得したすべてのデータを常に確認する必要があります。

于 2012-05-10T17:43:27.857 に答える
2

はい、誰かが任意のフォーム要素の入力を変更できます。FirefoxのFireBugと同じくらい簡単な方法で、Webページのクライアントコピーのソースコードを変更し、変更したデータを含むフォームを送信できます。

于 2012-05-10T17:44:31.453 に答える
0

ユーザーからの情報は信頼できません。ユーザーがあなたに送るものはすべて悪だと思います。すべてをエスケープするか、プリペアドステートメント/パラメーター化されたクエリをさらに適切に使用する必要があります。

于 2012-05-10T17:48:16.753 に答える
0

安全なサイトが必要な場合は、各入力を検証する必要があります。確実に、選択ボックスのフィールドがデータベースの値と一致するかどうかを確認する必要があります。

于 2012-05-11T07:29:44.060 に答える