@phpcoder81

Можно ли не проверять запрос на sql инъекцию?

Парни, можно ли НЕ проверять запрос за sql инъекцию, в двух конкретных случаях:

1)
$query .= "SELECT * FROM `tab` WHERE `id` = '".intval($_POST['id'])."'";
$result = DB::query($query);

2)
$a = array(1,2,3,4,5);
$query .= "SELECT * FROM `tab` WHERE `id` IN ".implode(", ", $a);
$result = DB::query($query);

PS
Во всех остальных случаях я использую prepare + execute
  • Вопрос задан
  • 141 просмотр
Пригласить эксперта
Ответы на вопрос 2
Stimulate
@Stimulate
могу
в первом случае можно, во втором нет, если массив не ты сам создаешь
Ответ написан
Если весь описанный тобой код точно так же и используется, то не проверяй :)
А вообще всегда лучше предохраниться. Если ты запустишь sqli-сканер, то он автоматически тебе найдет уязвимости (если будут!), а тебе напрягаться не надо. Если своими руками, то советую SQLmap, если без установки, то онлайн можно проверить на https://pentest-tools.com/website-vulnerability-sc... или на https://metascan.ru
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы