我有一个文本框的网页上,像这样:恶意用户可能会滥用此功能吗?
<form action="verify.php" method="post">
<input type="text" width="30" name="securityCode"><br />
<input type="submit" value="Go" />
<form>
和verify.php我有这样的:
<?php
$enteredCode=$_POST['securityCode'];
//Other stuff
?>
如果有什么恶意会来的这是我想知道的是什么?例如。如果他们在文本框中输入了一些PHP,它会起作用吗?
编辑
我没想到它会是重要的,但显然它。如果他们输入正确的代码,我将$_SESSION['passedSecurityCheck']
设置为true
,如果不是,我将它设置为false。对不起,没有指定。 :)
取决于您使用'$ enteredCode'完成的操作。如果你使用'eval()',那么是的。 – 2012-08-08 13:11:00
你在用$ enteredCode做什么?你的问题的答案取决于这一点。 – vascowhite 2012-08-08 13:11:31
可能的重复[防止PHP中的SQL注入的最佳方式](http://stackoverflow.com/questions/60174/best-way-to-prevent-sql-injection-in-php) – vascowhite 2012-08-08 13:12:59