Amp html AMP电子邮件安全

我已成功从amp电子邮件发送包含数据的表单，但存在安全问题。
黑客能否截获用户通过amp电子邮件中的表单发送的数据？如果可以，可能性有多大，做起来有多容易。

• 黑客可以在ChromeDevTools中查看您从电子邮件到后端API的请求
• 解释示例：

假设我们的网站有一个页面，显示了一个城市的天气观测历史。此城市的ID通过请求参数中的链接传递：

/weather.php？city_ID=

，其中

ID

-是城市的主键。 在PHP脚本中，我们在SQL查询中使用此参数进行替换：

$city_id = $_GET['city_id'];
$res = mysqli_query($link, "SELECT * FROM weather_log WHERE city_id = " . $city_id);

如果服务器传递的city_id参数等于10

/weather.php？city_id=10

，则执行SQL查询：

从城市id=10的天气日志中选择*

但如果攻击者将字符串

-1或1=1

作为id参数传递，则执行请求：

从天气日志中选择*城市id=-1或1=1

将SQL语言构造添加到输入参数（而不是简单的值）会更改整个SQL查询的执行逻辑

在本例中，将接收所有城市的数据，而不是显示一个城市的数据，因为表达式1=1始终为真。除了

SELECT…

表达式之外，还可以有一个用于更新数据的表达式，这样的结果将更加严重

SQL查询参数处理不当是最严重的漏洞之一。永远不要在SQL查询中“按原样”插入来自用户的数据