Mic*_*uel 4 mysql sql security sql-injection
我有这个简单的mysql查询:
INSERT INTO table (col1, col2) VALUES ('1', '2')
col1和col2外键的另一个表,以便对任何价值col1和col2必须存在于其他表或其他行不会被插入.
在这种情况下,是否还存在SQL注入的风险?如果我从PHP POST收到这些col值,在插入数据库之前是否还需要绑定它们,或者它们已经安全,因为cols是外键?
是.用户的所有输入都需要检查是否已清理.例如,如果用户向您发送一个类似的字符串'2'); drop table <table>作为您的第二个值,它可能会被执行并给您一些惊喜.(字符串可能不完全正常,但我认为你明白了)