bien considerar esta url:protección de PHP de parámetros GET
example.com/single.php?id=21424
Es bastante obvio para usted y yo que el PHP se va a tomar el ello y ejecutarlo a través de una consulta MySQL para recuperar 1 registro para mostrarlo en la pagina.
¿Hay algún hacker malicioso que pueda arruinar esta URL y representar una amenaza para mi aplicación/base de datos mysql?
Gracias
Por supuesto, nunca jamás considerar una entrada de usuario (_GET, _POST, _COOKIE, etc) como seguros.
Utilice la función mysql_real_escape_string php para desinfectar sus variables: http://php.net/manual/en/function.mysql-real-escape-string.php
Sobre las inyecciones SQL: http://en.wikipedia.org/wiki/SQL_injection
Bueno hay inyección de SQL http://en.wikipedia.org/wiki/SQL_injection
Todo depende de la filtración que explícitamente (con filter_var(), por ejemplo,) o implícitamente (usando declaraciones preparadas, por ejemplo) use.
http://stackoverflow.com/questions/601300/what-is-sql-injection –
Por supuesto. Cualquiera puede escribir lo que quiera. –
Independientemente del aspecto de seguridad, tampoco es un buen diseño de aplicación exponer los identificadores internos de la base de datos. La mayoría de los objetos en la base de datos tienen un nombre o título, que debe preferirse como parámetros de URL cuando sea posible. – mario