此代码是否可安全地用于我的网站?没有sql注入或黑客攻击,是或否?我不想被黑客攻击等安全代码与否? (需要帮助)
<?php
$db = new mysqli ("localhost", "-", "-", "-");
if($_GET['look'] && $_GET['username'])
{
$username = $db->real_escape_string($_GET['username']);
$look = $db->query("SELECT look FROM users WHERE username = '".$username."'")->fetch_assoc();
echo $look['look'];
}
if($_GET['missie'] && $_GET['username'])
{
$username = $db->real_escape_string($_GET['username']);
$motto = $db->query("SELECT motto FROM users WHERE username = '".$username."'")->fetch_assoc();
echo $motto['motto'];
}
if($_GET['while'] && $_GET['status'])
{
$status = $db->real_escape_string($_GET['status']);
$motto = $db->query("SELECT * FROM users WHERE motto = '".$status."'");
while($lol = $motto->fetch_assoc()) {
echo $lol['username'] . '/';
}
}
?>
,我怎么能提高呢?
如果你想成为安全,停止插值直接转换为SQL语句(甚至逃跑),并开始使用预处理语句使用绑定变量的 –
我用这个作为我的另一个网站获得座右铭和用户名等的“api”。所以我需要这样做,对吧? @Mark Baker – Yonas
如果您从其他网站访问它,那么其公开访问 –