php sql注入 强制类型转换
发布网友
发布时间:2022-04-06 03:55
共3个回答
热心网友
时间:2022-04-06 05:24
$id=intval($_GET['id']);
$sql="select * from `user` where id='{$id}'";追问按你的意思就是说,经过强制转换类型以后,绝对能避免sql注入咯 ??
追答按我写的是没问题了,sql的关键是每个sql语句中的变量都要严格过滤,是数字的就数字,是字符串的就过滤一些敏感的字符(如 union select..)和符号(单双引号)
热心网友
时间:2022-04-06 06:42
似乎字符串不能int成数字吧?
这个我也不确定追问只考虑安全啊 , 无需考虑参数是否还有效,
热心网友
时间:2022-04-06 08:17
