OK Considérez cette URL:
example.com/single.php?id=21424
3 Réponses :
Bien sûr, jamais jamais envisagé une entrée utilisateur (_GET, _post, _cookie, etc.) comme sûr.
Utilisez MySQL_Real_Escape_string PHP Fonction pour assainir vos variables: http: //php.net/manual/fr/function.mysql-real-escape-string.php
À propos des injections SQL: http://fr.wikipedia.org/wiki/sql_injection
Même _Server n'est pas toujours en sécurité (par exemple, http_referer)
Bien sûr, les thèses ne sont que des exemples :)
Tout dépend du filtrage que vous avez explicitement (avec filtre_var ( ) par exemple) ou implicitement (en utilisant des instructions préparées par exemple) utilisation.
Stackoverflow.com/Questtions/601300/what-is-sql-injection
Bien sûr. Tout le monde pouvait écrire tout ce qu'ils veulent.
Quel que soit l'aspect sécurité, il n'est pas non plus une bonne conception d'applications pour exposer les identifiants internes de la base de données. La plupart des objets de la base de données ont un nom ou un titre, qui devraient préférer les paramètres d'URL lorsque cela est réalisable.