我有一个搜索程序,它有多个输入文本框,对应于mysql数据库中的字段.我想知道一个自定义搜索框是否安全,用户可以在其中输入要搜索的实际字段及其值.
像这样:
<form method='post'>
<input type='text' name='param1' />
<input type='text' name='param2' />
<input type='text' name='customField' />
<input type='text' name='customValue' />
</form>
然后提交时:
$param1 = mysql_real_escape_string($_POST['param1']);
$param2 = mysql_real_escape_string($_POST['param2']);
$customField = mysql_real_escape_string($_POST['customField']);
$customValue = mysql_real_escape_string($_POST['customValue']);
$query = "SELECT * FROM mytable WHERE field1 LIKE '" . $param1 . "' AND field2 LIKE '" . $param2 . "' AND " . $customField . " LIKE '" . $customValue . "'";
这是一个内部网页,我们中只有少数人会真正看到这些新盒子,但我想知道是否可以在这里使用sql注入.