¿Es posible que un usuario forje el resultado que se devuelve desde $_SERVER['REMOTE_ADDR']
en PHP, por lo que en teoría podrían usar la inyección SQL en una base de datos?Dirección IP inyección SQL
Esto es un poco tonto, pero sigo suficiente para PHP nueva que yo quiero saber si se puede hacer, ya sea o no que necesito para desinfectar entrada de base de datos cuando la declaración SELECT
elige a partir de direcciones IP devueltas desde $_SERVER['REMOTE_ADDR']
. Entonces, si quisiera usar algo como $query = "SELECT * FROM users WHERE IP='" . $_SERVER['REMOTE_ADDR'] . "'";
, ¿habría algún peligro para que yo haga esto?
Nuevamente, probablemente sea una pregunta "nooby", pero creo que debe ser preguntado.
Gracias
¿Qué son las consultas parametrizadas? ¿Puede dar un ejemplo? – Cyclone
Los busqué. ¡Gracias! – Cyclone
Usted "no iría tan lejos como para decir" = usted no sabe la respuesta. Andrew McGregor (abajo) parece saber de lo que está hablando. –