在这种情况下有被sql注入攻击的风险吗?

nlejzf6q  于 2021-06-20  发布在  Mysql
关注(0)|答案(0)|浏览(167)

我有一个包含提交表单的html文件,它要求用户填写他们的个人信息。

然后通过phpsql方法将其发布并存储到数据库中。

// Check input errors before inserting in database
if (empty($CName_err) && empty($Address_err) && empty($amount_err) && empty($Phone_err)) {
    // Prepare an insert statement
    $pdo = Database::connect();
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    $sql = "INSERT INTO database (CName, Address, Phone, Amount ,Ticket, Purpose) VALUES (?, ?, ?, ? ,?, ?)";

    $q = $pdo->prepare($sql);
    $q->execute(array($CName, $Address, $Phone, $amount ,$Ticket ,$Purpose));
    Database::disconnect();

因此,在这种情况下,是否存在被sql注入攻击的风险?
我应该做些什么来改进我的编码?

暂无答案!

目前还没有任何答案,快来回答吧!

相关问题