问题描述
||
我在Flex 3项目中使用Zend AMF远程处理。如何确保Flex应用程序发送到PHP的参数不会导致sql注入或其他安全问题。
如何使$ parameterarray安全?它是一个字符串和数字值的数组。如何在$ parameterarray中使用MysqL_real_escape_string?我还需要使用htmlspecialchars吗?在这种情况下如何使用?为了确保安全我还需要做什么?
PHP:
class MyData {
public function getCrimeGradeData($parameterarray) {
$type = $parameterarray[0];
$latmax = $parameterarray[1];
$latmin = $parameterarray[2];
$lngmax = $parameterarray[3];
$lngmin = $parameterarray[4];
$startDateTime = $parameterarray[5];
$endDateTime = $parameterarray[6];
$query = \"SELECT reportdatetime,type,latitude,longitude FROM table WHERE latitude < $latmax AND latitude > $latmin AND longitude < $lngmax AND longitude > $lngmin AND type = \'$type\' AND reportdatetime BETWEEN \'$startDateTime\' AND \'$endDateTime\'\";
cont...
解决方法
去这里看看