例如,我有這個輸入:SQL注入PHP:我需要使用參數化查詢來驗證用戶輸入嗎?
名稱:沃利
電子郵件:[email protected]'; DROP TABLE ClientTable; PRINT「!太糟糕了,」 -
我的參數化查詢是:
$name = $_REQUEST['name'];
$email = $_REQUEST['email'];
$sql = "INSERT INTO ClientTable (Name, Email)
VALUES ('$name', '$email')";
即使我用這個參數化查詢,我需要驗證用戶輸入? (在這種情況下,電子郵件字段)
或者,已經是安全的,因爲我使用的是參數化查詢,查詢將簡單的存儲所有這些:「[email protected]」; DROP TABLE ClientTable; PRINT'太糟糕了!'''在數據庫中?
謝謝!
這不是一個參數化查詢......完全沒有all.http://27.media.tumblr.com/tumblr_lwru33NE821r803nno1_500.jpg – 2012-02-27 16:18:56
你可以看到[點擊這裏] [1] [1]:http://stackoverflow.com/questions/60174/best-way-to-stop-sql-injection-in-php – JackTurky 2012-02-27 16:20:13
我會檢查用戶輸入的不管是什麼,但也許我'm只是偏執狂... – 2012-02-27 16:20:52