如果插入用户输入而不修改SQL查询,则应用程序容易受到SQL注入的攻击,如下例所示:
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");
这是因为用户可以输入类似的内容value'); DROP TABLE table;--,查询变为:
INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')
可以采取哪些措施来防止这种情况发生?
为什么一个人不应该使用mysql_*功能的技术原因是什么?(例如mysql_query(),mysql_connect()或mysql_real_escape_string())?
即使他们在我的网站上工作,为什么还要使用其他东西?
如果他们不在我的网站上工作,为什么我会收到错误
警告:mysql_connect():没有这样的文件或目录
对于我的Web应用程序(PHP/MYSQL),我显示了一个项目列表和每行上的链接以删除该项目.现在,链接是
<a href='item.php?id=3&action=delete'>Delete Item</a>
如果我想使用POST而不是...我该怎么做(这是一个动态生成的列表)?我可以在不使用表单的情况下发送POST数据吗?
或者,对于每件物品,我都必须这样做:
<form action='item.php?id={$item_id}' method='POST'>
<input type='hidden' name='action' value='delete'>
<input type='submit' value='delete item'>
</form>
并将提交按钮设置为原始链接?
我不熟悉php CURL或REST,它们有助于解决这个问题吗?