我有一個簡單的步驟,從SQL數據庫中刪除行..簡單的PHP函數對SQL注入安全嗎?
<?php
global $wpdb, user_ID;
$tmp_mid = $_GET['mid'];
if (!empty($tmp_mid))
{
$id_check = $wpdb->get_var($wpdb->prepare("SELECT message_to_user_ID FROM " . $wpdb->base_prefix . "messages WHERE message_ID = %d", $tmp_mid));
if ($id_check == $user_ID)
{
$wpdb->query($wpdb->prepare("DELETE FROM " . $wpdb->base_prefix . "messages WHERE message_ID = %d", $tmp_mid));
}
}
?>
我要確保,如果$ USER_ID匹配從該行的$ tmp_mid該行只能刪除。所有似乎都正常工作,但是這個例程容易受到SQL注入?
我需要做任何事情來保護它嗎?
這個問題似乎是脫離主題,因爲它是要求http://codereview.stackexchange.com/ – Quentin 2014-09-28 13:36:41
@Quentin我很想去關閉相同的投票,或http:// stackoverflow .com/questions/60174/how-can-i-prevent -sql -injection-in-php?rq = 1 – 2014-09-28 14:00:41
@ Fred-ii- - 這是一個有點特殊的IMO,wordpress,可以很好地解決這個問題。 – Quentin 2014-09-28 14:01:32