只是一个简单的问题:以下PHP代码是否安全?还有什么你认为我可以或应该添加?这个PHP代码是否安全?
$post = $_GET['post'];
if(is_numeric($post))
{
$post = mysql_real_escape_string($post);
}
else
{
die("NAUGHTY NAUGHTY");
}
mysql_select_db("****", $*****);
$content = mysql_query("SELECT * FROM tbl_***** WHERE Id='" . $post . "'");
如果它通过'is_numeric()',则不必对其执行'mysql_real_escape_string()'。 – chelmertz 2010-02-18 14:34:23
为什么不直接说'$ post =(int)$ post;'? – Skilldrick 2010-02-18 14:39:22
@Skilldrick:如果数字超过int大小,可能会导致问题。 – Powerlord 2010-02-18 14:44:08