只是一個簡單的問題:以下PHP代碼是否安全?還有什麼你認爲我可以或應該添加?這個PHP代碼是否安全?
$post = $_GET['post'];
if(is_numeric($post))
{
$post = mysql_real_escape_string($post);
}
else
{
die("NAUGHTY NAUGHTY");
}
mysql_select_db("****", $*****);
$content = mysql_query("SELECT * FROM tbl_***** WHERE Id='" . $post . "'");
如果它通過'is_numeric()',則不必對其執行'mysql_real_escape_string()'。 – chelmertz 2010-02-18 14:34:23
爲什麼不直接說'$ post =(int)$ post;'? – Skilldrick 2010-02-18 14:39:22
@Skilldrick:如果數字超過int大小,可能會導致問題。 – Powerlord 2010-02-18 14:44:08