0
我想確保用戶輸入,如果是文本輸入,我們可以簡單地使用filter_input和mysql_real_escape_string。用戶可以更改選擇框的輸入變量嗎?
我的問題是:當變量來自選擇框時,我必須使用這些嗎?一些狡猾的用戶可以從瀏覽器更改POST值嗎?
我的選擇框從數據庫動態填充。我是否還需要將收到的數據(提交後)與數據庫進行比較,並使用mysql_real_escape_string以確保安全?
A
回答
3
2
是的,某人可以改變任何表單元素上的輸入。 Firefox中的FireBug可以讓我更改網頁客戶端副本上的任何源代碼,並使用我更改後的數據提交表單。
0
你不能相信任何來自用戶的東西。假設用戶發送給你的所有內容都是邪惡的。你需要逃避一切,甚至更好地使用預先準備的語句/參數化查詢。
0
如果您需要安全站點,則需要驗證每個輸入。 您需要檢查選擇框字段是否與保證數據庫值匹配。
相關問題
- 1. 我可以使用Selenium更改選擇框選項的值嗎?
- 2. 如何更改用戶輸入變量?
- 3. 允許用戶在選擇輸入中更改輸入選擇輸入
- 4. 我可以更改用戶的鍵盤輸入嗎?
- 5. 用戶可以更改會話變量嗎?
- 6. JavaScript變量可以輸入嗎?
- 7. catalina.bat可以更改環境變量嗎?
- 8. 從選擇框中選擇選項時更改PHP變量
- 9. 更改選擇輸入選擇國家?
- 10. 選擇列表框以更改其他輸入
- 11. 我可以將AngularJS的dirpagination過濾器從輸入框更改爲選擇框嗎?
- 12. 挑選和選擇要激活的變量以及用戶輸入方法
- 13. 可以使用Django形式的可變數量輸入嗎?
- 14. 可以輸入()選擇在追加/插入後重用嗎?
- 15. 是否可以在選擇字段中更改輸入?
- 16. 使用用戶輸入更改Javascript變量的值
- 17. window.prompt允許用戶通過選擇框輸入嗎?
- 18. 有沒有辦法讓用戶選擇要輸入的變量?
- 19. 使用jquery更改選擇輸入
- 20. 我可以在用戶在C#的信息框中輸入嗎?
- 21. Ansible - 使用用戶輸入來選擇一個變量
- 22. 用戶可以訪問$ _SESSION變量嗎?
- 23. 可以在用戶選擇的編碼中提交POST變量嗎? (非UTF-8)
- 24. 選擇[html]更改後更改可用複選框 - Zend Framework
- 25. 改變積極的輸入選擇
- 26. Firebase用戶標識可以更改嗎?
- 27. Tkinter:製作一個可以改變選擇變量的列表框
- 28. 根據用戶的輸入更改變量
- 29. Can Gulp可以改變LESS變量嗎?
- 30. 我可以使用用戶輸入按名稱打印變量嗎?
永遠不要相信用戶輸入;) – djot
是的,通過POST很容易發送不同於「你的」數據的數據,因此始終驗證用戶輸入。 – djot
並切換到準備好的語句,這是2012. – jeroen