У меня есть форма обратной связи, в которой будут введены несколько введенных пользователем полей вместе с несколькими полями, сгенерированными функциями PHP, такими как «user-agent» и «referer».
Мой вопрос: должны ли эти строки перед вводом? Я понимаю, что можно легко изменить пользовательский агент и ссылочную страницу, но может ли быть возможным, чтобы посетитель добавил SQL-инъекцию, такую как строка, поэтому, когда PHP извлекает эту информацию, она потенциально может нарушить мою форму?
Например, если пользователь изменил их агент пользователя или ссылающейся странице, чтобы включить строку Robert'); DROP TABLE Students;--
Вы случайно слово: «... должны ли эти строки перед вводом ...». –
mysql_query() не поддерживает стекирование запросов, злоумышленник никогда не сможет выполнить оператор drop. SQL Injection все еще очень серьезная проблема, но этот эксплойт никогда не сработает. – rook