Php 这个查询足够安全吗?
我正在接管其他人的PHP项目,在查看代码时,我发现了其中许多:Php 这个查询足够安全吗?,php,mysql,Php,Mysql,我正在接管其他人的PHP项目,在查看代码时,我发现了其中许多: $query = "INSERT INTO `".$_POST["tablename"]."` SET `cust_id`='".$_POST["cust_id"]."' , `cust_email`='".$_POST["cust_email"]."' ,`".$_POST["field"]."`='".mysql_real_escape_string($_POST["value"])."'"; mysql_query($sel
$query = "INSERT INTO `".$_POST["tablename"]."` SET `cust_id`='".$_POST["cust_id"]."' , `cust_email`='".$_POST["cust_email"]."' ,`".$_POST["field"]."`='".mysql_real_escape_string($_POST["value"])."'";
mysql_query($select);
但是$_POST[“things”]呢?他只逃过了一个POST变量,为什么其他变量不逃过呢
编辑:在将这篇文章标记为重复后:我知道这是一个常见的问题,以前也有人问过。正是因为这是如此普遍的知识,我才特别提出这个问题。也许我遗漏了什么…所以让我澄清一下答案:不!这个查询根本不安全。所以让我澄清一下答案:不!此查询根本不安全。很明显,您的前任不知道。但是代码的设计方式是不安全的——从POST接受表名?他不是一个很聪明的人?这个问题再本地化不过了。“他只漏掉了一个POST变量,为什么其他的都漏掉了?”-不称职?公平地说,我不认为这个问题是已经解决的问题的翻版(由于@AlvaroGVicario的评论中给出的原因:无法参数化SQL标识符,例如通过
$\u POST$\u POST