0

このコードがある場合:

query.php:

$secret = 'This should not be displayed';
$id = mysql_real_escape_string($_GET['id']);
try {
  mysql_query("SELECT * FROM USERS WHERE USER_ID = '$id'");
  }

catch(Exception $e) {
  echo "Could not execute" . "SELECT * FROM USERS WHERE USER_ID = '$id'";
}

$ idは適切にエスケープされているため、クエリにコードを挿入することはできませんが、例外処理部分のエコーのために、 GETquery.php?id=$secretで変数の内容がエコーされるのではないかと思います。$secret

4

1 に答える 1

0

あなたはその操作で安全です;)

あなた$idが整数のプット(int)$idまたは$id + 0などの場合...

幸運を!

于 2012-05-30T14:29:29.750 に答える