在我制作的一个表单上,我检查了很多复选框,并相应地设置了值。例如,如果checkbox1是check,我将$somevalue设置为Yes,否则它等于No。我稍后在sql查询中调用$somevalue。
这安全吗?我知道你永远不应该相信用户的输入。我正在使用mysqli_escape_string分析我的输入框,并检查下拉框是否包含我期望的值。如果我必须为我的复选框做任何额外的事情,我只是不确定。
听起来你做的每件事都很好。
如果你有一个用户创建的输入字符串,那么你应该转义该字符串,但是,如果你只期望特定的值,那么你只需要执行条件操作,因为一旦你验证了你要处理的文本是"是",那么你就知道它不使用注入。