Wie kann man eine numerische SQL-Injection abfangen? Ist es gültig zu überprüfen, ob es sich um eine Zahl handelt?

Question

Der Test zeigt, dass das Hinzufügen einfacher und doppelter Anführungszeichen zur SQL-Abfrage immer noch zu einer SQL-Injection führen kann. Wie die Frage besagt, kann die SQL-Injection unter der Annahme, dass der Überprüfungsparameter eine Zahl ist, abgefangen werden? if (!is_numeric($id)) {
exit('illegal');
Es ist nicht mehr möglich, in solchen Verifizierungstests eine SQL-Injection durchzuführen, aber ist das absolut sicher? Xiaobai bittet um Hilfe.

路边的小蚂蚁i · Answer

使用框架的sql语句封装方法，框架给你做好了防sql注入，等自己知识经验足够了，再去研究这些

Wie kann man eine numerische SQL-Injection abfangen? Ist es gültig zu überprüfen, ob es sich um eine Zahl handelt?

Antworte allen(1)Ich werde antworten