У меня есть разбиение на страницы на моей веб-странице. Поэтому я хочу, чтобы добавить строку в мой запрос, если у меня есть пост от пагинации:mysql is_numeric sql injection
$q="";
if(isset($_POST["inpi"])){
$in = $_POST["inpi"];
if(is_numeric($in)){
$q = "and c.id < '$in'"; // add this to mysql
}
else{die("something is wrong!");}
}
Так что я не могу использовать подготовить statments здесь.
select k.user, c.id, c.from, c.sent, c.message, c.recd from chat c
inner join cadastro k on c.from=k.id
where `from`=? and `to`=? $q
уведомления переменного $ д, это не будет иметь никакого значения, если пост пуст или и c.id < «$ в».
безопасно ли это?
Если вы проверяете ввод с использованием is_numeric, тогда я думаю, что вам не нужно беспокоиться о SQL-инъекции в этом случае. Поскольку для SQL-инъекции должны быть задействованы некоторые кавычки и строки. –
Вы абсолютно можете использовать подготовленные заявления здесь. Вы используете PDO? Вы можете добавить что-то в строку запроса, а 'array' использовать для хранения значений одновременно. – tadman
@tadman Я использую mysqli –