0

私の知る限り、PHP アプリケーションは、$POST、$GET、$REQUEST などの変数に送信するために Web ページ フォームでユーザー入力を必要とする場合に、SQL インジェクションを受けやすい傾向があります。アプリケーション/html ページにユーザー入力フォームがない場合、SQL インジェクションが完全になくなるということですか?

4

1 に答える 1

1

いいえ、どのユーザー入力も SQL インジェクションを引き起こす可能性があります。たとえば、クエリ文字列のパラメーターを使用して SQL クエリを実行するとします。これらのパラメーターをサニタイズしていない場合でも、SQL インジェクションが発生しやすくなります。

あなたができる最善のことは、ユーザー入力を決して信用せず、常にサニタイズすることです

SQL インジェクションから保護するには、準備済みステートメントとパラメーター化されたクエリを使用します

参照: http://php.net/manual/en/book.pdo.php

于 2013-04-16T22:22:29.930 に答える