0
我想讓我的sql插入功能更安全,目前它說插入$ _SESSION ['user_id']作爲from_user_id,但我也注意到,用戶能夠破解此並將from_user_id設置爲0或NULL我想補充一點,基本上是說插入$會議[「USER_ID」]到from_user_id但不允許from_user_id是其他NULL不插入並給出一個錯誤的條件:from_user_id不能爲空?
$sql = "INSERT INTO ptb_wallposts (id, from_user_id, to_user_id, content) VALUES (NULL, '".$_SESSION['user_id']."', '".$profile_id."', '".$content."');";
mysql_query($sql, $connection);
我認爲'id'是一個自動遞增的數字,不需要包含在你的insert語句中。另外,如果你希望它是安全的,你可能想刷新PHP PDO。 – Quantastical
id是一個自動增量列 –
這個邏輯應該在應用程序端處理。 – Kermit