我理解,您永远不应该信任表单中的用户输入,这主要是因为SQL注入的可能性.
但是,这是否也适用于唯一输入来自下拉列表的表单(见下文)?
我将$_POST['size']
保存到一个会话中,然后在整个站点中使用该会话来查询各种数据库(使用mysqli
Select查询),任何SQL注入都肯定会损害(可能会删除)它们.
没有用于查询数据库的键入用户输入区域,只有下拉列表.
<form action="welcome.php" method="post">
<select name="size">
<option value="All">Select Size</option>
<option value="Large">Large</option>
<option value="Medium">Medium</option>
<option value="Small">Small</option>
</select>
<input type="submit">
</form>