私はユーザー入力を保護したいと思います。テキスト入力の場合は、単にfilter_input
とmysql_real_escape_string
を使用できます。ユーザーは選択ボックスの入力変数を変更できますか?
私の質問は次のとおりです。変数が選択ボックスから来たときにそれらを使用する必要がありますか?何人かの巧みなユーザーがブラウザからPOST値を変更することは可能ですか?
私の選択ボックスは、データベースから動的に取り込まれます。受信したデータ(送信後)をデータベースと比較し、安全のためにmysql_real_escape_string
を使用する必要がありますか?
ユーザー入力を信用しない;) – djot
はい、POST経由で「あなた」以外のデータを送信するのは簡単なので、常にユーザー入力を検証してください。 – djot
準備済みの文に切り替えてください、これは2012年です。 – jeroen