下拉菜单是否有MySQL注入的风险[重复]
我希望我的网站允许用户使用下拉菜单来过滤MySQL提供的数据列表。下拉菜单中的选项用于以下方式:
$pulldown_choice = _GET['pulldown_choice'];
..... #other codes here
$sql = "SELECT * FROM tablename WHERE item LIKE '%$pulldown_choice%';
我的问题是:我是否需要担心从预定义的下拉列表选项注入数据库?谢谢
共有1个答案
有人可能会修改请求,然后手动调用URL,使用。。。?pulldown\u choice=您想要的任何内容(例如,*)。
我可能只会传递一个索引,并修复服务器端的选项。
-
问题内容: 我知道您绝不应该信任表单中的用户输入,主要是因为有注入SQL的机会。 但是,这是否也适用于唯一输入来自下拉菜单的表单(请参见下文)? 我将其保存到一个Session中,然后在整个站点中使用它来查询各种数据库(使用Select查询),任何SQL注入肯定会损害(可能会删除)它们。 没有类型输入的用户输入可以查询数据库的区域,只有下拉列表。 问题答案: 您可以像以下示例一样简单地进行操作,以
-
问题内容: 我的HTML页面上有2个下拉列表:第一个下拉列表包含数据库列名称,第二个下拉列表将基于该数据库列名称进行填充, 即 我有一个带有字段的表:以下是条目; 因此,我的第一个下拉列表将包含列名称,即“ Degree”和“ City”。 如果我选择“学位”,则第二个下拉列表将填充“ BS”和“ MS”;如果我选择“城市”,则第二个下拉列表应选择“纽约”,“波士顿”和“芝加哥”。 我该如何进行实
-
Checkmark扫描了我们的代码,显示这些代码有二阶注入的风险 我们的代码使用preparedStatement来执行sql。但是为什么这些代码仍然存在风险,我该如何修复它呢?
-
我在stackoverflow的帮助下设法拼凑了以下jQuery: 上面的脚本为我在Wordpress中的每个父类别添加了各种属性(第一个li与te类'cat-在父类别中'),并将href的ID添加到子类别(嵌套的ul与类'孩子')。这是为了创建一个引导手风琴风格的导航下拉框。请参阅下面输出的html: 问题是当我在Wordpress中创建新的父菜单项时,我必须编辑我的jquery脚本来添加新的c
-
使用Bootstrap 3时,是否有官方类与下拉菜单一起使用以创建弹出型按钮或子菜单?是否有创建下拉类的类,或者这些类通常是自定义类?
-
问题内容: 我正在尝试制作一个简单的CSS下拉菜单,当您将鼠标悬停在链接上时,将显示子菜单。当您将鼠标悬停在li上时,我已经设法实现了这一点,但无法弄清楚如何使用链接来实现。 我之所以尝试使用链接而不是li来执行此操作,是因为我的菜单宽度为100%,并且li所占的面积比链接大,因此,如果将鼠标悬停在该区域上,则不显示该子菜单不想。 我的CSS如下: 问题答案: 如果可能的话,我会避免使用JS。这不