用戶是否可以僞造在PHP中從$_SERVER['REMOTE_ADDR']
返回的結果,以便他們理論上可以在數據庫上使用SQL注入?IP地址SQL注入
這有點愚蠢,但我對PHP仍然是新的,我想知道它是否可以完成,當SELECT
語句從$_SERVER['REMOTE_ADDR']
返回的IP地址中選擇時是否需要清理數據庫輸入。所以,如果我想使用像$query = "SELECT * FROM users WHERE IP='" . $_SERVER['REMOTE_ADDR'] . "'";
這樣的東西,我會這樣做嗎?
再次,可能是一個「nooby」的問題,但我覺得它必須被問到。
感謝
什麼是參數化查詢?你能給個例子嗎? – Cyclone 2010-01-07 20:23:16
我看了他們。謝謝! – Cyclone 2010-01-08 01:35:11
你「不會遠去說」=你不知道答案。安德魯麥格雷戈(下圖)似乎知道他在說什麼。 – 2013-11-10 18:02:53