PHP защита параметров GET

Question

ОК, рассмотрите этот URL:

example.com/single.php?id=21424

Для вас и для вас вполне очевидно, что PHP собирается взять идентификатор и выполнить его через запрос mysql, чтобы получить 1 запись для отображения на странице..

Есть ли какой-нибудь злонамеренный хакер, который может испортить этот URL и создать угрозу безопасности моего приложения / базы данных mysql?

Спасибо

Answer 1

Конечно, никогда не считайте запись пользователя (_GET, _POST, _COOKIE и т. Д.) Безопасной.

Используйте функцию php mysql_real_escape_string для очистки ваших переменных: http://php.net/manual/en/function.mysql-real-escape-string.php

Об SQL-инъекциях: http://en.wikipedia.org/wiki/SQL_injection

Answer 2

Все зависит от того, какую фильтрацию вы используете явно (например, filter_var()) или косвенно (например, с использованием подготовленных операторов).

Answer 3

Ну есть впрыск Sql http://en.wikipedia.org/wiki/SQL_injection