<?PHP $id = intval($_GET['id']); $sql = MysqL_query("SELECT username FROM users WHERE id = $id"); $row = MysqL_fetch_assoc($sql); $user = htmlspecialchars($row['username']); ?> <h1>User:<?PHP echo $user ?></h1>
您能否在上述代码中看到任何威胁?我必须在输出的所有内容上使用htmlspecialchars吗?我应该使用is_numeric或intval来检查get是否为数字?
解决方法
一般来说
mysql_real_escape_string()
是首选,但因为它是一个数字,intval()
就可以了.所以是的,从安全角度看它看起来不错.
但有一点,在许多平台上,整数限制为32位,所以如果你想处理大于21亿的数字,那么它将无法工作.好吧,无论如何,它都不会起作用.